让我来介绍一下,我不是一个负载平衡器专家,但是我知道,如果您卸载负载平衡器上的SSL证书,则具有多个优点。
我们的一个客户希望通过使用SSL的CDN来caching许多网站。 为了争辩,让我们假装这些网站是https://siteone.com和https://sitetwo.com
他们希望在负载均衡器上安装一个“错误的证书”(例如一个CN:origin.oursites.com的证书),这样他们就不必每次将新站点添加到CDNcaching。 他们说这可以做,因为CDN允许证书不匹配。
我的问题可能是一个愚蠢的问题,如下所示:如果证书不匹配,那么负载平衡如何解密每个包并找出正在请求的确切的URL,并确定包是哪个服务器发给? 我错过了什么?
你能帮我理解这是否真的可行,如果是的话,请问为什么这么做?
在此先感谢// Francesco
首先,关于“如果证书不匹配,负载均衡如何解密每个包”,则authentication证书的validation是交换(对称)encryption密钥的先决条件。 如果删除validation步骤(或其中的一部分),则更有可能成功build立encryption连接,而不是相反。
问题是现在你有一个工作的encryption连接,但你实际上不知道对方是谁; 它可能是你试图连接的一方,但也可能是任何其他人能够拦截你的连接。
如果CDN允许在原产地使用不匹配的证书,而没有任何进一步的资格,那么这是可怕的安全实践。
这将允许中间人攻击(如上所述),因为绝对任何人都可以提供签名但不匹配的证书并被接受为起源。
但是,如果CDN有其他一些certificate原产地证书的方法,比如钉住(authentication证书本身,而不是依赖信任链+匹配的主体名称)这一个有效的证书,用于这些原产地证然后忽略主题名称,这将是很好,因为它不会允许任何人的不匹配的证书被接受。 它实际上改变了整个更严格的模型validation。
不愚蠢的。 要回答您的问题,证书不匹配(即证书上的名称与请求的URL不匹配)不会影响实际的encryption。 如果可以忽略关于不匹配名称的警告,那么数据仍将被encryption发送/接收,就像它是有效匹配一样。
然而,这不是好习惯。 当前的安全环境意味着SSL检查和证书validation将变得更加紧密,因此CDN接受不匹配不是您可以确定的方式。
您的客户的select将是使用通配符证书 ,即mysites.com将与site1.mysites.com,site2.mysites.com,网站n .mysites.com