UEWAF免费月系列:UEWAF支持Keyless SSL更安全
现在,人们的生活已经离不开互联网,无论是社交、购物还是搜索,互联网能带给人们更多便捷。与此同时,用户“裸露”在互联网上的信息越来越多,随之而来的隐私安全问题也日益严重。今年6月1日,《网络安全法》开始施行,企业的网络安全意识得到提高,为了保护用户数据隐私与网站安全,开始支持全站HTTPS的Web站点逐渐增多。
UEWAF(UCloud Enterprise Web Application Firewall)是UCloud自主研发的一款云端企业级Web防护服务产品,基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免网站资产数据泄露,保障网站的安全性与可用性。针对HTTPS站点,为了保障私钥的安全性,UEWAF提供Keyless SSL解决方案。
使用HTTPS类型的Web站点,用户在部署云WAF时,需要上传Web站点的公钥和私钥。由于云WAF属于第三方服务,因此用户非常担心网站私钥发生泄露,导致网站不安全。
私钥一旦泄露,黑客可以使用私钥发起中间人攻击,劫持Web站点,但浏览器不会告警,造成访问者信息泄露。例如,金融支付类站点发生私钥泄露,会导致访问者的账号密码被盗,进而给用户带来惨重的经济损失。
典型的私钥泄露中间人攻击如下图所示:
对于HTTPS类型的站点,UEWAF提供Keyless SSL解决方案,用户只需要上传站点公钥,而不需要上传站点私钥。
用户将站点私钥部署在自己的服务器上,对外提供私钥服务。通过UEWAF的Keyless SSL功能保证用户私钥的安全,因此UEWAF可以更好的为站点提供安全防护。
使用Keylss SSL的部署如下图所示:
HTTPS协议的核心是SSL层连接建立流程。在SSL连接建立的握手过程中使用公钥和私钥,协商出一个对称密钥和摘要签名算法,然后使用对称密钥对数据加密传输以及签名算法验证,从而保证数据的加密性和完整性。
其中,私钥是在SSL握手过程中密钥交换时用到,服务端用私钥对客户端使用公钥加密的预主密钥(premaster secret)进行解密。
HTTPS协议的SSL层连接建立流程如图所示:
从SSL连接建立流程图可以看出,私钥的作用只是在握手过程中密钥交换时,服务端对客户端使用公钥加密的信息进行解密。Keyless SSL巧妙地改进了私钥使用方式,将用到私钥的地方以调用远程服务的方式替换。
通过Keyless SSL有效保证了用户私钥的安全,UEWAF部署Keyless SSL的步骤如下:
(一)用户部署私钥服务器keyserver,并生成服务端和客户端证书,用于双向认证,保证私钥服务器安全。在keyserver上安装keyless服务,对外提供私钥服务。
(二)用户配置UEWAF,填写站点域名、主机地址、HTTPS协议、公钥以及私钥服务器的地址、客户端证书。
(三)UEWAF代理用户站点请求,在建立HTTPS连接过程中用到私钥时,向keyserver发起私钥服务请求,得到keyserver回复后成功建立SSL连接,再代理转发站点内容。
献礼《网络安全法》施行,UEWAF免费一个月!快来体验吧!
活动详情请关注UCloud官方网站。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
Ucloud
关注网络尖刀微信公众号
