UEWAF免费月系列:UEWAF支持Keyless SSL更安全

百家 作者:Ucloud 2017-06-15 09:07:35

现在,人们的生活已经离不开互联网,无论是社交、购物还是搜索,互联网能带给人们更多便捷。与此同时,用户“裸露”在互联网上的信息越来越多,随之而来的隐私安全问题也日益严重。今年6月1日,《网络安全法》开始施行,企业的网络安全意识得到提高,为了保护用户数据隐私与网站安全,开始支持全站HTTPS的Web站点逐渐增多。

UEWAF(UCloud Enterprise Web Application Firewall)是UCloud自主研发的一款云端企业级Web防护服务产品,基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免网站资产数据泄露,保障网站的安全性与可用性。针对HTTPS站点,为了保障私钥的安全性,UEWAF提供Keyless SSL解决方案。

云WAF存在的问题

使用HTTPS类型的Web站点,用户在部署云WAF时,需要上传Web站点的公钥和私钥。由于云WAF属于第三方服务,因此用户非常担心网站私钥发生泄露,导致网站不安全。

私钥一旦泄露,黑客可以使用私钥发起中间人攻击,劫持Web站点,但浏览器不会告警,造成访问者信息泄露。例如,金融支付类站点发生私钥泄露,会导致访问者的账号密码被盗,进而给用户带来惨重的经济损失。

典型的私钥泄露中间人攻击如下图所示:

云更安全的解决方案

对于HTTPS类型的站点,UEWAF提供Keyless SSL解决方案,用户只需要上传站点公钥,而不需要上传站点私钥。

用户将站点私钥部署在自己的服务器上,对外提供私钥服务。通过UEWAF的Keyless SSL功能保证用户私钥的安全,因此UEWAF可以更好的为站点提供安全防护。

使用Keylss SSL的部署如下图所示:

Keyless SSL技术原理

HTTPS协议的核心是SSL层连接建立流程。在SSL连接建立的握手过程中使用公钥和私钥,协商出一个对称密钥和摘要签名算法,然后使用对称密钥对数据加密传输以及签名算法验证,从而保证数据的加密性和完整性。

其中,私钥是在SSL握手过程中密钥交换时用到,服务端用私钥对客户端使用公钥加密的预主密钥(premaster secret)进行解密。

HTTPS协议的SSL层连接建立流程如图所示:

从SSL连接建立流程图可以看出,私钥的作用只是在握手过程中密钥交换时,服务端对客户端使用公钥加密的信息进行解密。Keyless SSL巧妙地改进了私钥使用方式,将用到私钥的地方以调用远程服务的方式替换。

UEWAF的Keyless SSL部署

通过Keyless SSL有效保证了用户私钥的安全,UEWAF部署Keyless SSL的步骤如下:

(一)用户部署私钥服务器keyserver,并生成服务端和客户端证书,用于双向认证,保证私钥服务器安全。在keyserver上安装keyless服务,对外提供私钥服务。

(二)用户配置UEWAF,填写站点域名、主机地址、HTTPS协议、公钥以及私钥服务器的地址、客户端证书。

(三)UEWAF代理用户站点请求,在建立HTTPS连接过程中用到私钥时,向keyserver发起私钥服务请求,得到keyserver回复后成功建立SSL连接,再代理转发站点内容。




献礼《网络安全法》施行,UEWAF免费一个月!快来体验吧!

活动详情请关注UCloud官方网站。



关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接