来自 防护 2021-07-18 18:14 的文章

ddos盾_ddos清洗费用_优惠券

ddos盾_ddos清洗费用_优惠券

SSL检查(又称SSL/TLS解密、SSL分析或深度数据包检查)是企业IT界越来越热门的话题。我不是来争论你是否应该这样做。在CA工作时,我很难理解这个概念,因为我相信加密的基本原理,但是越来越多的公司正在实施加密,因为加密并不一定意味着内容是安全的。如果您正在调查或实现SSL检查,那么您应该考虑以一种更安全、管理良好的方式进行检查。这就是为什么我要谈论实现的一个方面,许多人可能不知道-事实上,我知道很多人不知道这一点,因为每个人听到这一点时都很惊讶-使用自定义的私有颁发CA来生成解密和重新加密证书。 是的,您不需要依赖自签名的CA证书或SSL检查设备提供的CA证书,而是可以利用来自第三方CA(如GlobalSign)的专用颁发CA。但是,在我们开始之前,让我们简单回顾一下这个话题什么是SSL检查?为什么要使用它?越来越多的公共网站转向HTTPS,如何防御ddos,这意味着web服务器和客户端(即浏览互联网的最终用户)之间发送的通信和数据都是加密的(根据SonicWall的数据,这占所有web流量的60%以上)。虽然这种到处加密显然是一件非常好的事情——保护信用卡支付、登录凭证等——但不幸的是,服务器ddos防御软件,一些坏人已经开始在加密的流量中隐藏有害或恶意代码。这意味着它的常见防御措施,如入侵防御系统或数据丢失防护,被绕过了,可怕的东西正对员工的机器。同样值得注意的是,这种在加密中隐藏恶意软件的趋势在过去一年中增加了72%,而且可能只会继续增长,这在一定程度上要归功于免费SSL提供者的增长,如Let's Encrypt,这使得获得低保证、域验证(DV)证书变得非常容易。越来越难判断一个"安全"的网站是否真的是一个"安全"的网站。SSL检查基本上位于终端客户端(即您的员工浏览web)和web服务器之间并过滤掉不好的内容,从而帮助减轻这种威胁。如今市面上有不少检测器具,但流程基本相同。当HTTPS内容在客户机和Web服务器之间交换时,所有的流量都会经过检查设备,在那里解密并检查是否有任何恶意的内容。检查完成后,设备将与终端客户端创建一个新的SSL会话来解密和重新加密内容。这是我要重点关注的部分-那些新的SSL会话和创建它们的发布CA。解密/重新加密过程的工作原理为了让SSL检查设备在将内容发送回最终用户之前对其进行解密和重新加密,它必须能够动态地颁发SSL证书。这意味着它需要在其上安装CA证书(有时也称为中间或颁发CA)。这里的另一个关键因素是,为了让那些在运行中的SSL证书在浏览器中得到信任(即不触发像下面这样的可怕警告消息,每次员工访问经过重新加密的站点时),CA链(或层次结构)必须在浏览器的信任存储中。由于这些证书不是从已嵌入根和中间层的公共信任CA颁发的,因此需要手动将CA层次结构推送到所有终端客户端Chrome中自签名或不受信任根的警告消息(来源:badsl.com网站)对于Windows机器,这个过程可能不会那么痛苦,因为您可以利用activedirectory和组策略功能,但是如果您有移动设备、mac或Linux呢?任何非Windows的东西通常都会更复杂。您还必须考虑是否已经有其他根目录需要维护和管理,包括企业中可能拥有的任何自签名、Microsoft CA或基于OpenSSL的根。这些可以很快加起来。你是如何保护私钥的?或者确保它们不会在你身上意外过期?如何确保每个用例使用哪个根。还有一个更好的方法-使用第三方CA的专用根目录如果尝试管理多个根或依赖自签名证书对您没有吸引力,您应该知道这些不是您的唯一选择。您可以改为使用第三方CA(注意:并非所有CA都支持此功能;GlobalSign支持)。现在您可能会想,"等等,我以为您不能将公共信任证书用于SSL检查设备?"你是对的——在这种情况下,证书将从一个私有的颁发CA颁发,该CA链接到一个专门的、私有的根CA,该根CA是为GlobalSign管理的公司创建的。 专用客户基础的示例(简化)体系结构那么,防御cc攻击代码,这个设置如何消除我前面提到的一些头痛呢?对于初学者来说,它可以最小化您必须管理和推出的根的数量。有了这个选项,您就可以有一个私有根来满足所有内部PKI的需要,云服务器防御ddos,并根据需要链接到中间ca的数量来决定。例如,上图显示了一个多层层次结构,其中一个颁发CA(或中间CA,无论您如何称呼它们)用于SSL检查/解密活动,而另一个颁发CA用于内部计算机(笔记本电脑、服务器、台式机等)。虽然SSL设备用例确实要求特定的发布CA由客户托管(因为它必须在设备本身上生存),但是顶级根CA由GlobalSign托管。我们负责保护和保护私钥,并随时为您服务。这也意味着您只需推出顶级根CA和从任何下级CA颁发的所有证书也将是可信的。这种方法的另一个好处是,如果出于任何原因需要撤销设备的颁发CA。我们只需要为您创建一个替代的发布CA,它可以追溯到您原来的私有根目录,您可以立即开始使用。您不必担心将任何根推出,因为它也会链接到已经信任的根CA。让我们来处理您的内部PKI需求SSL检查用例是越来越多的企业依赖内部或私有PKI的最新趋势。其他常见用例包括用于用户或计算机身份验证的证书、用于内部服务器的SSL以及根据CA/Browser论坛要求在公共信任证书中不允许的配置。如果您正在为这些应用程序或其他应用程序考虑内部PKI,或者您当前正在内部管理自己的PKI,DDos防御攻击与云服务,您应该知道外包给第三方CA是一种选择。管理CA和信任锚,包括公共和私有的,是我们要做的事情——让我们来为您处理这个问题。