什么是SSL卸载?如何实现SSL卸载?有什么好处?
下面将讨论一个经常出现的问题,用快速通俗的语言来探讨一下什么是SSL卸载,如何进行SSL卸载以及为什么要进行SSL卸载。
什么是SSL卸载,它是如何工作的?
通俗地说,在TLS 1.3之前,甚至在TLS 1.2之前,SSL/TLS经常会增加连接的延迟性。这就是SSL/TLS减慢网站速度的原因。十年前,SSL/TLS的这一缺点总是令人倍感震惊。“哦,它们会拖慢你的网站的速度”。当时这的确是真的。
今天情况不再是这样了,但在过去,人们会SSL/TLS认为有点资源匮乏。首先,你会进行SSL/TLS握手。在TLS 1.3中,系统已经被改进到只进行一次往返,但在此之前,它会进行多次往返。然后,在握手之后,必须使用额外的处理能力来对传输的数据进行加密和解密。随着服务器上来自SSL/TLS的额外负载不断增加,系统便不能再满负荷处理。
再一次地,TLS 1.3删除了很多这方面的内容,HTTP/2——它需要使用SSL/TLS——能够帮助进一步提高性能,但是,即使有了所有这些方面的改进,在更高流量的情况下,SSL/TLS仍旧可能会增加延迟。
那么,什么是SSL卸载?
为了帮助缓解SSL/TLS增加的额外负担,你可以启动单独的、特定于应用程序的集成电路(ASIC)处理器,这些处理器仅限于执行SSL/TLS所需的功能,即握手和加密/解密。这将可以为目的应用程序或网站释放出处理能力。简言之,这就是SSL卸载。有时也称为负载均衡。你可能听说过负载均衡器这个词。负载均衡器是这样一种设备,它能够帮助改善对多个资源的工作负载的分发,例如将SSL/TLS工作负载分发到ASIC处理器。
SSL卸载的优点是什么?
SSL卸载有几个好处:
它能够卸载应用服务器上额外的任务,这样它们就可以专注于它们的主要功能。
它能够节省这些应用服务器上的资源。
而且,根据使用的负载均衡器的不同,它还可以帮助进行HTTPS检查、反向代理、cookie持久性、流量管理等等。
最后一点是最重要的一点:在某些情况下,SSL卸载可以帮助进行流量检查。与加密一样重要的是,它有一个主要缺点:攻击者可以隐藏在加密的通信流中。由于攻击者隐藏在HTTPS通信流中,所以出现了很多引人注目的漏洞,Magecart就一直在使用HTTPS通信来混淆从各种支付页面中窃取的PCI。一旦你的组织达到了一定的规模,检查HTTPS通信的能力就几乎成为强制性的了,而实现这一点的最好方法之一就是,卸载SSL/TLS进程。
SSL卸载的工作原理是什么?
当我们讨论SSL卸载时,有两种不同的方式可以实现它:
SSL终结
SSL桥接
让我们先从SSL终结开始,因为它更简单一点。从本质上来说,它是这样工作的,用于SSL卸载的代理服务器或负载均衡器充当着SSL终结器的角色,它也充当边缘设备的角色。当客户端尝试连接到网站时,客户端就会连接到SSL终结器——该连接是HTTPS。但是SSL终结器和应用服务器之间的连接是通过HTTP连接的。
现在,你可能会问,这为什么没给对浏览器造成问题,这是因为HTTP连接是在幕后进行的——在内部网络上,受防火墙保护——客户端与SSL终结器之间仍然有一个安全的连接,而后者起着传递的作用。
下面是SSL终止的可视化图:
除了通过HTTP发送流量和请求外,SSL桥接在概念上与SSL终结非常相似,它会在将所有内容发送到应用程序服务器之前,重新加密它们。
下面是SSL桥接的可视化图:
这两种方法都允许你执行流量检查,并且在处理更大网络上的大量流量时可以提供极大的帮助。
请记住,加密是一项令人难以置信的CPU密集型任务。当行业从1024位的RSA密钥迁移到了2048位的RSA密钥时,根据服务器的不同,涉及到的CPU的使用增加了4-7倍。我们甚至可能永远不会获得4096位的密钥,因为坦率地说,那时,CUP使用量的增加并不能完全改善安全性。这就是为什么我们看到加密的发展趋势更倾向于基于椭圆曲线的密码系统。
因此,让我们来讨论最后一点:你是否应该考虑SSL卸载?
坦率地说,这一切都取决于你,你的网站和你想做什么。像ESPN或CNN这样大型的媒体网站应当非常适合使用负载均衡器,因为它们都能处理大量的流量。另一方面,如果你只是为当地一家面包店运营一个网站,那么让你的服务器去处理所有的事情就可以了——尤其是TLS 1.3进行了改进的情况下。(内容来自网络)
什么是SSL卸载?如何实现SSL卸载?有什么好处?相关推荐
- 添加https后反向代理gateway报错io.netty.handler.ssl.NotSslRecordException: not an SSL/TLS record
添加https后反向代理gateway报错 2023-02-17 14:19:05.328 [reactor-http-epoll-4] ------ ERROR c..si.gateway.exce ...
- fatal: Unsupported SSL backend ‘“openssl”‘. Supported SSL backends:
$ git clone https://github.com/wdg1111/wdgreact.git Cloning into 'wdgreact'... fatal: Unsupported SS ...
- mysql ssl 登陆_MySQL:SSL远程登录
环境:linux mint 15 安装openssl: sudo apt-get install openssl 查看mysql的ssl是否开启了(在mysql 命令行中): show variabl ...
- 360浏览器卸载_如何卸载360浏览器,如何卸载360安全浏览器
一.首先,打开为Windows7系统开始菜单中选择制面板",点击打开 二.然后,在窗口中选择"程序与功能",点击打开. 三.然后,在列表中找到"360浏览器&q ...
- 【计算机网络】网络安全 : 运输层安全协议 ( 安全套接字层 SSL | 运输层安全 TSL | SSL 服务 | SSL 安全会话建立流程 )
文章目录 一.运输层安全协议 二.运输层使用 SSL 前后对比 三.SSL 与 TSL 对比 四.SSL 服务 五.SSL 安全会话建立过程 一.运输层安全协议 运输层安全协议 : ① 安全套接字层 ...
- mysql安装ssl证书_Mysql配置ssl证书
一.确认环境信息 1.查看数据库版本 mysql> select version(); +-----------+ | version() | +-----------+ | 5.6.36 | ...
- CentOS下如何完全卸载MySQL?解决卸载不干净的问题
出处:https://my.oschina.net/zhangjie830621/blog/466279 CentOS下如何完全卸载MySQL?解决卸载不干净的问题 系统:CentOS 6.5,MyS ...
- window10怎么卸载php,window_win10怎么卸载程序?win10卸载程序教程,当win10正式版发布以后,不少 - phpStudy...
win10怎么卸载程序?win10卸载程序教程 当win10正式版发布以后,不少用户将电脑升级为Windows10系统后,不知道该如何卸载程序,本篇将为大家带来win10卸载程序教程,希望能够帮助到大 ...
- mac 安装mysql怎么卸载不干净_CleanMyMac卸载不干净怎么办?如何彻底删除Mac上的CleanMyMac?...
CleanMyMac for mac是非常受欢迎的系统清理.软件卸载软件,但是想要卸载CleanMyMac的有些用户发现不能完全卸载,那么CleanMyMac卸载不干净怎么办?如何彻底删除CleanM ...
- SSL双向认证和SSL单向认证的区别
双向认证 SSL 协议要求服务器和用户双方都有证书.单向认证 SSL 协议不需要客户拥有CA证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥 ...
最新文章
- 机器人c语言教程pdf,机器人卡雷尔学习C语言.pdf
- Python编程神器Jupyter Notebook使用的28个秘诀(附代码)
- 新书推荐:《追问人工智能:从剑桥到北京》
- python django model定义
- C++Rabin Karp算法字符串快速查找(附完整源码)
- 我是如何用JSP在网络上架构一个网上招标系统,以推进网站无纸化,过程电子化,管理智能化的发展
- 晨哥真有料丨一定要在一个月内让她爱上你!
- 究竟 javascript 错误处理有哪些类型?
- char类型输出地址
- python字典和json字符串相互转化的方法_Python处理json字符串转化为字典的简单实现...
- 为热门项目 若依(ruoyi) 添加flyway,自动管理数据库版本
- c语言邻接表存储拓扑排序,拓扑排序(完整案列及C语言完整代码实现)
- Redis-stack 初体验
- gif动图怎么制作?怎么截取视频做成gif动图?
- 市场、运营、销售什么区别?
- Yet Another Crosses Problem
- 学习PerfDog安卓(Android)APP的性能测试(1)
- 贝叶斯聂曼准则matlab程序,模式识别试题及总结
- 什么是矩阵java_java矩阵
- The Sandbox阐释对元宇宙平台的愿景