点击上面的服务思维
回复”669“获取独家整理的精选资料集
回复加入全国服务端高端社区「后端圈」
作者 | Claire
出品| http://r6n.cn/kecdr
什么是SSL卸载SSL。
今天,我们将讨论一个没有这些问题的常见问题IT对于有背景的人来说,这可能特别奇怪:什么是SSL卸载?我们将快速总结SSL卸载意味着什么,你为什么要这样做,你是否应该这样做。
一般来说,有关SSL/TLS与互联网工作方式不当的一个词是,它是一个1:1的连接。个人计算机直接连接到网络服务器,然后通信将直接从一端到另一端。事实上,情况比这要复杂得多,有时两端最多分为十多段。
当我们开始学习时SSL卸载时,我们应当记住这一点,因为这是十分重要的。
所以,什么是SSL卸载,它是怎么工作的?
让我们开始吧……
什么是SSL卸载?
坦白说,在TLS 1.甚至在3之前TLS 1.2之前,SSL/TLS连接的延迟往往会增加。SSL/TLS减慢网站速度的原因。十年前,SSL/TLS这个缺点总是令人震惊的。哦,他们会把你的网站放慢速度。。这是真的。
今天的情况不再是这样,但在过去,人们会SSL/TLS认为有点缺乏资源。首先,你会做到的SSL/TLS握手。在TLS 1.3.系统已经改进到只进行一次往返,但在此之前,它将进行多次往返。握手后,必须使用额外的处理能力来加密和解密传输的数据。来自服务器SSL/TLS如果额外负载增加,系统将无法满负荷处理。
再一次地,TLS 1.这方面删除了很多内容,HTTP/2-它需要使用SSL/TLS——它可以帮助进一步提高性能,但即使有了这些方面的改进,在流量更高的情况下,SSL/TLS延迟仍有可能增加。
所以,什么是SSL卸载?嗯,为了帮助缓解SSL/TLS对于额外的负担,您可以在应用程序中启动单独的集成电路(ASIC)这些处理器仅限于执行SSL/TLS所需功能,即握手和加密/解密。这将释放处理目的应用程序或网站的能力。简而言之,这就是SSL卸载。有时也被称为负载平衡。你可能听说过负载均衡器这个词。负载均衡器是一种可以帮助改善多种资源工作负荷分配的设备,例如SSL/TLS工作负作负荷ASIC处理器。
SSL卸载的优点是什么?
SSL卸载有几个好处:
它可以卸载应用程序服务器上的额外任务,使其专注于其主要功能。
在这些应用服务器上节省资源。
而且,根据使用的负载均衡器的不同,它也可以帮助HTTPS检查,反向代理,cookie持久性、流量管理等。
最后一点是最重要的一点:在某些情况下,SSL卸载有助于检查流量。与加密一样重要的是,它有一个主要缺点:攻击者可以隐藏在加密的通信流中。因为攻击者隐藏在HTTPS最近,通信流中出现了许多引人注目的漏洞,Magecart一直在用HTTPS从各种支付页面窃取的通信混淆PCI。
一旦组织达到一定规模,检查HTTPS通信能力几乎是强制性的,实现这一点的最好方法之一是卸载SSL/TLS进程。
SSL卸载的工作原理是什么?
当我们讨论SSL卸载时,有两种不同的方法可以实现:
SSL终结
SSL桥接
让我们先从SSL结束开始,因为它更简单。本质上,它是这样工作的SSL卸载的代理服务器或负载平衡器充当SSL终结器的作用,也起到边缘设备的作用。当客户端试图连接到网站时,客户端将连接到网站SSL该连接是终结器HTTPS。但是SSL通过HTTP连接的。
现在,你可能会问,为什么浏览器没有问题,因为HTTP连接在幕后进行——在内部网络上,受防火墙保护——客户端和SSL终结器之间仍有安全的连接,后者起着传输的作用。
下面是SSL终止的可视化图:
除了通过HTTP除了发送流量和求外,SSL桥接在概念上与SSL在将所有内容发送到应用程序服务器之前,它会重新加密它们。
下面是SSL桥接可视化图:
这两种方法都允许你进行流量检查,在处理更大网络上的大量流量时可以提供很大的帮助。
请记住,加密是不可思议的CPU密集型任务。当行业从1024开始RSA密钥迁移到2048位RSA根据服务器的不同,密钥涉及到CPU使用增加了4-7倍。我们甚至可能永远不会获得4096位的密钥,因为坦率地说,那时,CUP增加使用量并不能完全提高安全性。这就是为什么我们看到加密的发展趋势更倾向于基于椭圆曲线的密码系统。
因此,让我们讨论最后一点:你应该考虑吗?SSL卸载?
坦白说,这一切都取决于你,你的网站和你想做什么。ESPN或CNN如此大的媒体网站应该非常适合使用负载平衡器,因为它们可以处理大量的流量。另一方面,如果你只是为当地的面包店运营一个网站,让你的服务器处理一切——特别是TLS 1.在改进的情况下。
●漫谈设计模式在 Spring 良好的框架实践
●颠覆微服务认知:深入思考微服务的七大主流观点
●人人都是 API 设计者
●如何保证透微服务下事务的一致性?
●如何实现黑盒测试微服务内部服务间的调用?
关注我,回复 「加群」 加入各种主题讨论小组。
在看点这里