一文讲清HTTP回源和HTTPS回源
什么是回归本源?
要回答这个问题,我们先来谈谈什么是CDN。CDN即Content Delivery Network(内容分发网络),是由分布在不同地区的边缘服务器组成的分布式内容分发网络。它将源站点资源缓存在不同位置的边缘服务器上,供网站访问者就近访问,减少源站点压力,快速为用户提供源站点内容。CDN最适合的内容是各种静态文件,如下载文件、音乐文件、视频文件等。当然,目前的DCDN已经支持动态请求,为各种资源提供动态和静态的加速和保护。
返回到源是指CDN节点从源站点检索网站访问者请求数据并返回给网站访问者的过程。CDN将根据设置的时间缓存这些数据。当下一个访问者想要获得相同的资源时,他们将不再去源站点获取它。它们可以直接从边缘节点为用户提供所需的资源,达到快速获取附近数据的目的。简单地说,当用户请求的数据在本地CDN节点服务器上不可用或需要更新时,节点服务器将返回到原始数据源检索数据,这称为源检索。如下图所示,第一个下载零信息浏览器的北京用户需要CDN北京节点从深圳源站点获取后再返回给用户,这样会导致下载速度变慢。而第二个北京用户直接从CDN北京边缘节点获取,会导致下载速度更快。
什么是返回源协议?HTTP返回源和HTTPS返回源的区别是什么?
返回源协议是指CDN节点向源站点请求资源时使用的协议。网站访问常用的协议有HTTP和HTTPS,可以指定返回源端口。例如,HTTP协议的默认端口为80,HTTPS协议的默认端口为443。CDN节点将根据用户的协议和端口设置从源站点请求资源。
如下图所示,如果使用HTTP协议返回源站点资源,则称为HTTP back to source。这是一个完整的明文传输方法,用于返回源和用户访问。机密数据在传输过程中很容易被非法窃取和篡改,无法保证数据在传输过程中的安全性。因此,所有浏览器都会显示为“不安全”。但是,目前仍有大量的政府网站使用HTTP CDN服务和WAF服务,这些服务非常不安全,不符合保证网络传输安全的网络安全和机密性评估要求。四部委发布并于7月1日实施的《互联网政务应用安全管理规定》明确要求,政府网站和政务服务系统必须使用HTTPS加密实现安全连接,CDN业务必须使用HTTPS加密。
如果使用HTTPS加密协议从源站检索资源,则称为HTTPS检索。HTTPS返回源要求源站点也支持HTTPS协议,这意味着源站点必须配置SSL证书并能够通过HTTPS进行访问。当然,从用户端到CDN节点也必须使用HTTPS协议,这意味着必须在CDN边缘服务器上部署SSL证书,实现网站机密数据传输全程HTTPS加密,确保网站数据安全。
由于HTTPS协议要求在源站点部署SSL证书,因此需要用户向CA申请SSL证书,不仅需要在源web服务器上配置SSL证书,还需要用户将SSL证书上传到CDN系统。这个过程非常复杂。所以,大量的网站使用HTTP返回源方法。虽然用户访问时浏览器显示加密的锁定标识,但CDN节点服务器与源站点之间的传输仍然是HTTP明文,仍然不安全。机密数据仍然可能被非法窃取和篡改。
对于WAF保护,也采用了类似于CDN的反向代理转发技术,可以分为HTTP back to source和HTTPS back to source,以及用户是通过HTTP还是HTTPS访问网站。如果WAF设备或WAF云服务不支持HTTPS加密,则是不安全的HTTP明文访问网站。如果WAF设备或云WAF服务支持HTTPS加密