安全是有分量的

香港高防ip_服务器安全防护措施有哪些_快速解决

2021-05-10 18:04栏目:应用

香港高防ip_服务器安全防护措施有哪些_快速解决

注意:您可能会注意到,我们在这里使用的是技术上正确的术语TLS Certificate而不是SSL,因为TLS协议,SSL的后续协议,实际上是现在使用的。如需更多解释,请参阅我们关于TLS与SSL的文章。服务器名称指示(SNI)允许服务器为多个站点安全地承载多个TLS证书,所有证书都在一个IP地址下。它在TLS握手中添加服务器(网站)的主机名,作为客户机HELLO消息的扩展名。这样服务器就知道在使用共享IP时要显示哪个网站。通常,在同一台服务器下使用共享IP的公司是托管公司,他们每天都面临这样的问题:"如何让服务器选择并提供正确的证书?’下面我们仔细看看这个问题。在HTTP站点上,服务器使用HTTP主机头来确定它应该显示哪个HTTP站点。但是,当使用TLS(HTTPS背后的协议)时,需要在建立HTTP会话之前创建安全会话,在此之前,没有主机头可用。所以这是一个两难的问题:对于HTTPS,浏览器中的TLS握手首先不能在没有TLS证书的情况下完成,但是服务器不知道要提供哪个证书,因为它无法访问主机头。什么是SNI?它有什么帮助?服务器名称指示(SNI)是TLS协议的扩展。客户机在TLS握手中指定要使用SNI扩展连接到的主机名。这允许服务器(例如Apache、Nginx或HAProxy等负载平衡器)选择相应的私钥和证书链,这些私钥和证书链是在一个IP地址上托管所有证书时从列表或数据库建立连接所必需的。使用SNI时,服务器的主机名包含在TLS握手中,这使得HTTPS网站能够拥有唯一的TLS证书,即使它们位于共享的IP地址上。你可能想知道为什么这如此重要。为什么我们需要一种方法来支持共享IP的唯一证书?IPv4短缺的困境互联网协议版本4(IPv4)有大约40亿个IP地址。全球范围内已经有超过4亿个IPv4地址,但我们已经面临着超过4亿个互联网地址的短缺。因特网协议版本6(IPv6)应该可以解决这个问题,提供数万亿个地址,但是仍然有一些现有的网络设备不支持IPv6。据估计,90%的手机、PC和服务器通用操作系统都能支持IPv6。因此,我们已经非常接近于完全支持IPv6,但是对于少数仍然需要共享IP的遗留系统,可能必须采用双重方法—对于少数的传统浏览器,对IPv4使用SNI,对于其余的则通过IPv6为所有域提供唯一IP。SNI如何帮助您解决IPv4短缺使用SNI,服务器可以安全地为多个站点托管多个TLS证书,所有证书都在一个IP地址下。这样,所需和使用的IP地址就更少了,从而使IP地址更加可用。虽然我们最终会用完IPv4地址,但这个过程会变慢,让人们有更多的时间更新到兼容的浏览器、路由器和服务器上。SNI还使得配置和管理多个网站变得更加容易,因为它们都可以指向同一个IP地址。除此之外,它的优点是简单地扫描IP地址不会泄露证书,这增加了一般的安全性。SNI有什么缺点吗?很明显,SNI是共享ip的一个很好的解决方案,但还有一个很小的缺点:它只影响到一小部分互联网用户,即那些使用传统浏览器或操作系统的用户。传统浏览器和web服务器不支持SNI。现代浏览器(一般不到6年)都能很好地处理SNI,但与SNI抗争的两大传统浏览器是Windows XP(或更老版本)上的Internet Explorer(或更老版本,估计2018年4月有3.18%的用户使用它访问网站)和Android 2.3及更老版本(约0.3%的Android用户使用)。如果旧版浏览器或操作系统不支持SNI,握手将选择默认证书,这可能导致常见的名称不匹配错误。XP和androidpre-2.3的使用率将继续下降,因此兼容性问题将变得越来越不重要。记住,windowsxp不支持tls1.1或tls1.2,而且随着PCI技术的发展,用户将无法再访问许多站点。这些浏览器的使用率正在下降,自己的服务器怎么防御CC,而且还会继续下降,但这意味着,如果HTTPS网站是通过SNI交付的,那么一定比例的web用户目前仍将难以接受HTTPS网站。这里有支持和不支持SNI的浏览器和版本的完整列表。解决这个问题的一种方法是使用多域TLS作为默认证书,这样您就可以在一个证书中列出共享IP上的所有域(下面将详细介绍)。关于SNI,需要指出的另一个方面是,vps怎么防御ddos,连接在tls1.2中是未加密的,它使客户端暴露在审查和监视之下。tls1.3已经解决了这个问题,但是还没有得到完全的支持,所以请确保您已经准备好在tls1.3被广泛采用后立即使用它。这些挑战当然不足以贬低SNI的美丽。我们建议您尽可能使用SNI。SNI与san的区别多域证书(有时称为SAN证书)是处理IPv4耗尽的另一种方法。多域TLS证书不像SNI那样具有与浏览器或服务器兼容的缺点。它们的工作方式与任何其他TLS证书一样,在一个证书中可以覆盖多达200个域。另一方面,SNI可以轻松地在同一个IP地址上托管数百万个域。那么我们为什么不直接使用多域证书呢?在多域证书上,所有域都需要添加到一个证书中。这些域被列为主题替代名称(san)。如果需要添加或删除SAN,或者需要吊销或续订证书,则需要为所有域替换和重新部署证书。也可以看到谁共享同一个证书。例如,多服务器防御ddos,对于从托管公司获得证书的公司,例如,为客户使用多域证书的公司,该公司可能不太乐意与竞争对手共享证书。 它还会使证书更大,添加的名称越多,证书就越大。虽然我们只是在讨论千字节,带ddos防御的国外服务器,但这些信息需要先下载,然后才能下载网站上的任何内容。从几毫秒到几毫秒的速度,这意味着谷歌的网页加载速度很快。另一个重要的缺点是多域证书在组织之间共享时不能支持OV(组织验证)或EV(扩展验证)SAN。例如,在前面提到的托管公司场景中,来自多个公司的域在一个证书下列为san,这些域将是DV(域验证)级别。这些验证级别是指在颁发证书之前验证的信息量。DV是指站点所有者证明了对域的管理控制,而OV和EV还验证了站点所有者的身份信息(例如合法和运营存在)。多域证书的著名用户包括Cloudflare和Google。谷歌只对不支持SNI的老客户使用它。那我该怎么办?我应该使用SNI还是多域证书?总的来说,虽然SNI和多域证书实现了相同的目标(即减少所需的IPv4地址数量),但它们以相反的方式实现了这一点:SNI意味着您可以为每个域拥有唯一的证书(即许多证书),高防cdn504错误,而这些域共享相同的IP。另一方面,多域证书只需为多个域使用一个证书,这反过来也意味着多个域使用一个IP。很明显,SNI和多域证书都有自己的位置,可以单独使用,也可以组合使用。使用这些解决方案,您可以继续为客户托管证书,而无需担心专用IP地址或兼容性。如果您想与GlobalSign谈论适合您的解决方案,请立即与我们联系。