技术博客 > 正文

SSL加速是如何实现的

2022-03-11

网宿支持SNI方式部署客户域名,同一服务器部署多套证书,解决了传统部署模式下,一套IP只能绑定一套证书的局限性。

◆功能背景

HTTPS能有效解决HTTP明文传输带来的劫持、篡改、钓鱼等问题,HTTPS也逐渐成为企业的标配,客户对于HTTPS的加速需求越来越多。证书部署是HTTPS加速必不可少的步骤。传统的证书部署方式是一套IP只能绑定一套证书。

一套IP绑定一套证书部署方法存在的弊端:

• IPv4资源告急,按此方法部署会造成大量的IP资源浪费;
• 难以全面覆盖小运营商节点,从而导致使用小运营商网络的用户访问效果差,影响用户体验;
• 部署周期长,影响客户快速使用网宿HTTPS加速服务。

针对上述问题,网宿推出SNI证书部署功能,一个服务器同时绑定多套证书,有效解决IP资源紧张、节点覆盖不全面、部署难度大等问题。

省心省力!云上运维难题,交给网宿MSP运维支持服务!

◆功能原理

在客户端连接到服务器建立SSL握手之前,客户端先发送即将访问站点的域名给服务器,服务器根据域名返回一个合适的证书。这使得服务器在SSL握手阶段就知道域名,并正确返回对应域名的证书。实现了多个HTTPS客户可以共享一个IP地址,解决一套IP地址只能绑定一个证书的问题。

◆使用场景

• 场景一:采用HTTPS加速服务,且忽略部分游览器访问出现不受信任情况,使用低版本浏览器访问的用户为非目标用户;
• 场景二:关注中小运营商服务质量;
• 场景三:用户采用移动端访问,且开发环境支持SNI。
◆SNI优化

由于SNI功能存在部分浏览器版本限制的缺陷,针对此缺陷网宿提供SNI优化方案:将客户服务域名授权加入网宿证书,则在SNI方案下,所有支持SHA-2证书的浏览器均能够正常访问(网宿证书收费)。

浏览器对SNI的支持情况

◆国内 86.92%完成支持,6.22%部分支持,总比例 93.14%;部分支持( IE 7&IE6 扣除 XP 下的部分)
◆全球 94.53%完全支持,0.81%部分支持,总比例 95.34%;部分支持( IE 7&IE6 扣除 XP 下的部分)