CDN加速

技术博客 > 正文

CDN加速如何实现证书优选

2021-10-29

CDN加速节点部署RSA和ECC两份证书,在SSL握手过程中,根据客户端对证书的支持情况,优先使用ECC证书,以达到更好的服务效果。

RSA:非对称加密算法,是目前最可靠的非对称加密算法,加密密钥和解密密钥不同,安全性比较高。

ECC:非对称加密算法,相比RSA等公钥算法,使用较短的密钥长度而能得到相同程度的安全性。

随着浏览器的不断更新及对ECC证书的支持,ECC证书作为一种使用性能相对优秀的证书,开始受到广泛的关注,2014年ECC证书在国外被普遍开始使用,2015年国内开始接受ECC证书。证书优选方案,根据客户端对证书的支持情况,优先匹配ECC证书,以达到更优秀的服务效果

网宿互联网安全报告之API攻击篇:攻击者可能通过APP位置权限窃取你的隐私!
ECC证书兼容性

在客户端支持ECC证书情况下,优选ECC证书具有如下优势:

1.安全性高:256位的ECC和3072位的RSA具有相 同的加密强度。

2.加解密速度快:HTTPS请求速度提升30%~60%。

3.CPU占有率少:使用ECC的占有率相比使用RSA降低40%~60%。

针对同一域名,在CDN节点上同时部署 RSA格式和ECC格式两份证书文件。网宿CDN加速节点作为服务端,根据客户端发送的Client Hello中的信息判断客户端是否支持ECC证书,若支持则返回ECC证书,若不支持则返回RSA证书。并使用相对应的非对称加解密算法完成剩余的握手过程。