首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

使用cdn的https之后,显示连接采用过时的加密套件进行了加密

CDN中的HTTPS配置:过时加密套件的潜在影响及优化方案

过时的加密套件影响

在使用CDN进行HTTPS连接时,采用过时的加密套件可能会带来以下潜在问题:

  1. 不兼容的现代加密算法和协议:过时的加密套件可能不再支持现代安全要求和最新的加密算法,导致连接受到攻击。
  2. 潜在的安全漏洞:过时加密套件可能存在已知安全漏洞,使得攻击者能够更轻松地进行中间人攻击、数据泄露等恶意行为。
  3. 性能降低:不兼容现有的加密协议可能会导致连接性能降低,影响用户访问。
  4. 合规性风险:如果应用需要遵守各种安全法规(如GDPR、HIPAA等),使用过时加密套件可能导致合规风险,因为法规通常要求使用最新的安全协议。

优化方案

为确保连接和内容的加密,以下是一些优化CDN中的HTTPS配置的方法:

  1. 定期更新CDN提供商的HTTPS配置
  2. 升级加密套件到较新的版本,如TLS 1.2、TLS 1.3或其他已被广泛认可和应用的现代加密套件。
  3. 使用SHA-256签名方案以提高安全性和性能。
  4. 确保CDN支持的SSL配置已启用,包括SSL/TLS的协议版本、密钥交换方法和加密套件。
  5. 禁用不安全的算法和协议,如RSA的CBC模式及非AES加密套件。
  6. 确保在TLS握手中包含有效的身份验证信息,避免中间人攻击。
  7. 根据实际需求调整证书有效期,降低过期风险。
  8. 启用CDN提供程序的OCSP Stapling和HPKP,进一步降低网络安全风险。
  9. 实施防火墙策略和访问控制以防止未经授权的访问。

腾讯云CDN推荐方案

根据以上建议,腾讯云CDN的HTTPS配置已经支持最新加密套件的使用。具体而言,腾讯CDN的SSL证书部分支持RSA/ECC/SM2等多种加密算法,并支持全TLS 1.2和TLS 1.3。同时,腾讯云CDN支持SSL配置的自定义选项,用户可以在实际使用过程中针对各种需求进行针对性的调整。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

浅谈推进有赞全站 HTTPS 项目-工程篇

在原有 HTTPS 握手基础上,增加了证书验证,进行了加密,这样我们传输数据就有安全保证。解决问题包括运营商劫持、中间人攻击、钓鱼网站、提升SEO等。...具体流程如下: 客户端发送“ClientHello”消息,消息包含 SSL 版本、客户端支持加密套件和数据压缩算法及随机数 1。...服务器响应“ServerHello”消息,消息包含选定加密套件、选定数据压缩方法、会话标识,数字证书及另一个随机数 2。...客户端发出“更改密码规范”通知服务器端之后使用协商好对称加密算法及密钥通信。 服务器发出“更改密码规范”通知客户端之后使用协商好对称加密算法及密钥通信。...所有连接跳转都会以 HTTPS 方式打开。 这种策略显然更加友好。当网站已经确认强制使用HTTPS,就可以加入该方法。

60420

科普 TLS 1.3 — 新特性

TLS 1.3 协议针对安全强化及效率提升等方面进行了大量修改,相继推出 20 多个草案版本,即将完成最终标准化。...可以看到,TLS1.2 协议中需要加密套件协商、密钥信息交换、ChangeCipherSpec 协议通告等过程,需要消耗 2-RTT 握手时间,这也是造成 HTTPS 协议慢一个重要原因之一。...客户端发送 ClientHello 消息,该消息主要包括客户端支持协议版本、DH 密钥交换参数列表 KeyShare; 服务端回复 ServerHello,包含选定加密套件;发送证书给客户端;使用证书对应私钥对握手消息签名...TLS 1.2; 加密握手消息; TLS1.2 及之前版本协议中各种扩展信息在 ServerHello 中以明文方式发送,但是 TLS 1.3 协议要求 ServerHello 消息之后握手信息都需要加密...△ TLS1.3 至于服务器端和浏览器里开启支持 TLSv1.3,大家可以参考【时隔快半年再次体验 HTTPS TLSv1.3 协议】和【又拍云 CDN HTTPS 已率先支持 TLS 1.3】

3.1K60
  • HTTPS原理

    SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2,当前基本不再使用低于 TLSv1 版本; 客户端支持加密套件 cipher suites 列表, 每个加密套件对应前面 TLS...Hello 阶段,客户端会发送一份加密套件列表和当前支持 SSL/TLS 版本号给服务端,而且是使用明文传送,如果握手数据包被破解之后,攻击者很有可能串改数据包,选择一个安全性较低加密套件和版本给服务端...5.2 HTTPS 接入优化 1.CDN 接入 HTTPS 增加延时主要是传输延时 RTT,RTT 特点是节点越近延时越小,CDN 天然离用户最近,因此选择使用 CDN 作为 HTTPS 接入入口...CDN 节点通过和业务服务器维持长连接、会话复用和链路质量优化等可控方法,极大减少 HTTPS 带来延时。...2.会话缓存 虽然前文提到 HTTPS 即使采用会话缓存也要至少1*RTT延时,但是至少延时已经减少为原来一半,明显延时优化;同时,基于会话缓存建立 HTTPS 连接不需要服务器使用RSA私钥解密获取

    89610

    HTTPS安全优化配置最佳实践指南简述

    温馨提示: HSTS 这个响应头只能用于 HTTPS 响应;网站必须使用默认 443 端口;必须使用域名且不能是 IP。而且启用 HSTS 之后一旦网站证书错误,用户无法选择忽略。...(而不是通过将窃听其他人)直接沟通并安全地交换数据则需要至少128位加密AEAD套件, 并且在配置中避免使用如下加密套件 NULL 密码套件不提供加密 匿名 Diffie-Hellman(ADH)...再设置该响应头之后将会告诉浏览器只使用 HTTPS 连接到目标服务器,并且还防止一些潜在中间人攻击,包括 SSL 剥离、会话 cookie 窃取。...安全与兼容性如何抉择 描述: 很多网站HTTPS检测评分都达到了A或者A+, 但在看检测结果时候发现类似于百度和淘宝这类大用户群网站居然没有评级到A或者在使用加密套件上有橙色加密套件, 这是由于不同业务侧重点不同...CA证书 (信任),在系统内置证书库中不存在的话,用户第一次访问网站时会显示如下情况:(以Chrome为例), 即使你证书确实是可信,但依旧会显示成不可信,只有等到浏览器自动把缺失那张CA证书从网上下载下来之后

    2.6K10

    全站 HTTPS 来了

    SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2,当前基本不再使用低于 TLSv1 版本; 客户端支持加密套件 cipher suites 列表, 每个加密套件对应前面 TLS...Hello 阶段,客户端会发送一份加密套件列表和当前支持 SSL/TLS 版本号给服务端,而且是使用明文传送,如果握手数据包被破解之后,攻击者很有可能串改数据包,选择一个安全性较低加密套件和版本给服务端...5.2 HTTPS 接入优化 1.CDN 接入 HTTPS 增加延时主要是传输延时 RTT,RTT 特点是节点越近延时越小,CDN 天然离用户最近,因此选择使用 CDN 作为 HTTPS 接入入口...CDN 节点通过和业务服务器维持长连接、会话复用和链路质量优化等可控方法,极大减少 HTTPS 带来延时。...2.会话缓存 虽然前文提到 HTTPS 即使采用会话缓存也要至少1*RTT延时,但是至少延时已经减少为原来一半,明显延时优化;同时,基于会话缓存建立 HTTPS 连接不需要服务器使用RSA私钥解密获取

    1.1K40

    Wireshark抓包帮你理清HTTPS请求流程

    用一句话总结:用非对称加密算法来传递对称加密算法密钥,同时用摘要算法保证数据完整性。 这一次请求,客户端提供了 20 种密码套件供服务端选择,最终使用什么密码套件是服务端决定。...在 Android 系统中,一般情况下,使用 SSLSocket进行连接时候,会带上系统默认支持密码套件。...说明服务端允许客户端再以后 SSL 连接中复用这次会话。在使用 HTTPS Session Ticket 可以用到。会话 ID 由服务端维持,采用恢复会话方式创建 SSL 连接。 ?...比如对象别名。这个如果是 CDN 服务器证书,那么别名将会非常多。是所有使用CDN 网站域名。...所以 SSL 协议是很独立,这里是对 HTTP 进行了加密,也可以对其他协议进行加密。它就像是 TCP 和应用层协议中间层,为上层协议提供了加密数据传输。

    7.3K23

    HTTPS 为什么是安全(下)?

    Chrome 对于 HTTPS 链接会在地址栏显示绿色小锁;Android 9 开始默认启用 TLS,如果需要使用 HTTP,需要进行单独配置;iOS 强制使用 HTTPS ;HTTP/2 虽然仍然支持明文传输...通信双方身份验证 通信双方协商出一个安全会话密钥,注意中间人攻击问题 使用会话密钥对称加密通信内容 看起来很简单,但 HTTPS 做了大量工作来保证通信安全。...密码套件决定了 TLS 使用身份认证、密钥交换、对称加密、消息认证码算法。在 TLS 1.2 中可选择密码套件比较多,但在 TLS 1.3 中进行了删减,去除了部分不再安全密码套件。...但大多数文章中说还都是 RSA 算法。 RSA 密钥协商很简单。浏览器生成一个随机数,使用服务器公钥加密之后发送给服务器,服务器接收之后使用自己私钥解密拿到随机数。...所以,最好方案是一次一密。准确说是,每个 TCP 连接使用不同密钥。这正是 ECDHE 密钥交换所能提供特性。 知乎目前也是采用 ECDHE 来协商密钥,继续分析下去。

    68820

    网络安全深度解析:HTTPS加密机制及其在现代Web安全中核心作用

    当客户端浏览器发起与服务器HTTPS连接时,会经历一系列复杂握手步骤,确保双方能够协商一致安全参数,并建立起一条经过加密数据传输通道。...版本、加密套件,并回应自己随机数。...这个密钥将用于对称加密数据传输,而握手过程中使用非对称加密仅用于安全地交换会话密钥。二、HTTPS服务器配置实战在实际操作层面,配置HTTPS服务器涉及到安装和配置SSL/TLS证书。...然而,仍存在诸多挑战,例如证书撤销问题、证书透明度日志、0-day漏洞利用、以及新兴量子计算机对现有加密算法潜在威胁等。因此,持续关注和采用最新加密技术和最佳实践至关重要。...同时,企业和开发者应当密切关注CA/B论坛等相关组织安全指南,及时升级加密算法,避免因过时安全措施带来潜在风险。

    41310

    HTTPS终于搞懂了

    HTTPS 是如何解决以上安全性问题呢?主要方法如下所示: 数据加密HTTPS 传输不再是明文,而是采用加密算法传输密文,黑客即使截获了报文,也无法理解内容!...答案是肯定HTTPS 采用混合加密方式,既采用对称加密,也采用非对称加密。...对称加密算法弱点在于协商密钥过程采用明文不安全,存在密钥泄漏可能,那么我们是不是可以不采用明文,而是采用非对称加密算法来协商此密钥,之后传输数据时再采用对称加密算法进行加密。...在 HTTPS 协议中,当客户端与服务器通过三次握手建立 TCP 连接之后,并不会直接传输数据,而是先会经过一个 SSL/TLS 握手过程,用于协商会话密钥、鉴别密钥以及验证证书等,之后就可以安全传输数据了...比如客户端支持密码套件列表中,有些加密算法较弱,有些加密算法较强,而此密码套件是明文传输,万一黑客将此密码套件列表进行了修改,只留下一些安全性较低加密算法,那么服务器就只能从这些安全性较低加密算法中选择

    70930

    高并发架构HTTP知识介绍

    使用私钥加密数据必须使用公钥进行解密,反之依然。 安全代价 看起来 非对称加密 非常安全。不过对称加密效率非常高。HTTPS正是综合使用这两种加密方式,让整个传输过程变得安全。...接下来看看这个过程是如何完成。 对称加密 我们先来看看,如果HTTPS使用 对称加密,能否满足安全需要呢?由于这种情况只有一个密钥,服务端怎么把这个密钥交给客户端呢?线上传输肯定会泄漏。...客户端发起了一个https请求,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数random_c,扩展字段等信息。这个过程此时是明文。...此时客户端已经有了生成证书全部内容,它会计算协商密钥(对称密钥),然后告诉服务端以后通信都采用协商通信密钥和加密算法进行加密通信。...首先,为了效率,整个过程只采用了一次非对称加密加密 Pre-master; 其次,客户端、服务端分别使用了一次对称加密来进行密钥有效性验证,来防止中间人攻击; 最后,也说了为什么整个过程需要CA机构参与

    55620

    都用HTTPS了,还能被查出浏览记录?

    但是,TLS建立连接过程却不一定是加密。...TLS握手机制 当我们通过TLS传递加密HTTP信息之前,需要先建立TLS连接,比如: 当用户首次访问一个HTTPS网站,浏览器开始查询网站服务器时,会发生TLS连接 当页面请求API时,会发生TLS...但总体来说,「TLS握手」是为了达到三个目的: 协商协议和加密套件:通信两端确认接下来使用TLS版本及加密套件 验证省份:为了防止“中间人”攻击,握手过程中,服务器会向客户端发送其证书,包含服务器公钥和证书授权中心...客户端可以使用这些信息验证服务器身份 生成会话密钥:生成用于「加密接下来数据传输」密钥 TLS握手机制缺点 虽然TLS握手机制会建立安全通信,但在握手初期,数据却是明文发送,这就造成「隐私泄漏...总结 虽然HTTPS连接本身是加密,但在建立HTTPS过程中(TLS握手),是有数据明文传输,其中SNI中包含了服务器域名信息。

    80040

    八、《图解HTTP》 - HTTPS

    使用HTTPS请求之后,在浏览器输入地址时候需要将原本HTTP转化为HTTPS。...中间人攻击只需要拿到密钥,双方传输加密报文时候拦截请求数据并且伪造自己数据,就可以同时“剽窃”双方向敏感信息。 为了处理这个问题,需要使用公开密钥加密对于共享密钥加密加密方式进行了改进。...HTTPS在设计过程中基于安全和速度考虑,最终决定是在连接握手过程中使用非对称密钥加密确保安全,在服务器非对称加密验证通过之后,会返回稍后需要共享对称加密密钥信息。...在握手完成之后,在确保安全前提之下, 使用对称加密密钥进行共享对称加密信息交互。...服务端拿到被加密共享密钥之后,解密获得中间人共享加密密钥。 原本 在这样攻击手段之下,为了保证客户端请求服务器真实性,采用第三方权威机构认证是合理

    57120

    SSLTLS 原理及抓包详解

    cipher_suites:支持加密套件列表。根据客户端想要使用且自己支持加密套件由高到低排序。 compression_methods:压缩算法列表。...【Certificate Verify*】客户端证书校验信息 用于提供客户端证书显示校验信息,仅在具有签名功能客户端证书(也就是除包含固定diffie-hellman参数证书外所有证书)之后发送...用于提示服务端这条连接以后都使用当前协商好加密方式以及主密钥,是一条事件消息。...五、SSL/TLS 可以解决什么安全问题 TLS基本工作方式是,客户端使用非对称加密与服务器进行通信,实现身份验证并协商对称加密使用密钥,然后对称加密算法采用协商密钥对信息以及信息摘要进行加密通信.../s,如果将所有的HTTP连接变为HTTPS连接,则明显RSA解密最先成为瓶颈。

    9.1K41

    HTTPS网络安全与SSL证书相关术语合集

    HPKP 公钥固定,这是一种https网站防止攻击者使用CA错误颁发证书进行中间人攻击一种安全机制,用于预防诸如攻击者入侵CA偷发证书、浏览器信任CA签发伪造证书等情况,采用该机制后服务器会提供一个公钥哈希列表...SRI HTTPS 可以防止数据在传输中被篡改,合法证书也可以起到验证服务器身份作用,但是如果 CDN 服务器被入侵,导致静态文件在服务器上被篡改,HTTPS 也无能为力。...也就是对于这个网站 HTTP 地址,浏览器需要先在本地替换为 HTTPS 之后再发送请求。...HSTS 这个响应头只能用于 HTTPS 响应;网站必须使用默认 443 端口;必须使用域名,不能是 IP。而且启用 HSTS 之后,一旦网站证书错误,用户无法选择忽略。...AEAD是用一个算法在内部同时实现cipher+MAC,是TLS1.2、TLS1.3上采用现代加密算法。

    1.4K50

    关于恶意软件加密流量检测思考

    2.1元数据差异 (1)源端口:默认情况下,操作系统随机分配端口范围是49152-65535,但是一些恶意软件不向操作系统请求源端口,而是使用自定义端口,这使其在普通连接中突显出来。...有些密码套件完全被恶意软件忽略,而有些则不成比例地受到青睐,比如蓝色框中两个TLS密码套件因为比较安全所以良性流用较多,而红色框中两个密码套件由于使用过时RC4算法而被良性流认为是不安全,恶意软件使用得却较多...,这可能归因于恶意软件作者缺乏选择密码套件强度或更新密码套件意识,或者只要内容加密而并不关注算法选择。...四、小结 本文列举了一些恶意软件和良性TLS流区别,并就恶意软件通信流量检测关键问题进行了探讨,实践表明,利用具有区分度特征构建模型在一段时间内能够有效地从TLS加密流中检测出恶意流。...加密代理篇: 《初探加密代理识别》 恶意软件篇: 《基于深度学习物联网恶意软件家族细粒度分类研究》 加密webshell篇: 《【冰蝎全系列有效】针对HTTPS加密流量webshell检测研究》 《

    1.9K30

    QUIC协议分析,性能测试以及在QQ会员实践

    目前广泛使用HTTPS是基于TCP+TLS协议,HTTP2也被主流浏览器默认支持TLS。...) [3.jpg] 图3 TCP+TLS建连过程 除了TCP建立连接过程,TLS握手过程要经过如下步骤: 1、客户端提供加密套件(算法)列表,版本等信息 2、服务器端提供自己证书,选择加密套件,非对称加密公钥...(自己保留私钥)等 3、客户端提供自己证书,用服务器公钥和加密套件加密自己私钥 4、服务端用保留私钥解密客户端传来加密私钥,得到私钥即为后续加密传输使用对称密钥,最后完成握手 此时,双方协商出了对称密钥...但与TLS不同,QUIC采用加密算法仅需要一个RTT就能实现密钥交换,并且该算法也被用于目前正在草案阶段TLS1.3协议。该就是Diffie-Hellman密钥交换算法。...连接和quic连接竞赛 4、一旦quic建立连接获胜则采用quic协议发送请求 5、如遇网络或服务器不支持quic/udp,客户端标记quic为broken 6、传输中请求通过tcp重发 7、5min

    1.7K30

    淘宝店铺优化_手机淘宝怎么分享链接

    3)采用优化策略5–懒加载 优化前,启动过程存在很多业务初始化操作;优化后,采用懒加载策略,真正使用时才进行初始化加载,同时懒加载机制可以结合缓存或预置数据方式来达到更好效果。...使用懒加载方式优化后,启动只创建可见页面即首页,其它页面只在用户点击对应TAB时才进行创建显示,此优化一举减少了近0.5秒耗时。...对于第3类内容,采用策略6,优化页面结构和层次:推荐商品放在页面最下部,默认不显示,当用户滚动上滑时做拉取绘制,避免页面一次拉取数据内容过多。...建立长连接: 通过SPDY实现,减少TCP/TLS握手,降低建立连接成本。对于从CDN下载图片速度帮助很大。 域名收敛: 收敛域名至公司主力CDN域名。...300ms 以上,通过 TraceView看里面的调用堆栈发现它里面存在锁操作,所以比较耗时,找到这个瓶颈点之后,手淘Android调研了多种加密存储方式,最后换了一种比较轻量加密存储模块,优化了该瓶颈点

    1.2K30

    CryptoLyzer:全面的密码设置分析器

    在分析期间,尝试使用几乎不支持、实验性过时甚至不推荐使用机制或算法来建立连接,以确定给定客户端或服务器实现支持哪些机制或算法。...Mozilla Cipherscan 使用并推荐了这个 fork,然而,它可以提供不到 200 个密码套件,但根据Cipher Suite Info ,在不同RFC中有超过 300 个密码套件。...这些是很少使用密码套件,但有一个实现它们OpenSSL 引擎,因此应该检查它们。 TLS 协议其他部分(如扩展)情况类似。加密库不太可能支持每个扩展,但其中一些可能由某些库实现。...标签生成 ✅ ❌ ❌ ❌ ❌ ❌ ❌ ❌ JA3标签解码 ✅ ❌ ❌ ❌ ❌ ❌ ❌ ❌ 89% 33% 0% 11% 0% 0% 22% 0% 机会性 TLS永久链接 一些应用层协议具有扩展以将纯文本连接升级到加密连接...加密协议具有相同构建块(身份验证、密钥交换、对称密码、完整性),因此可以以相同方式对其进行分析,并且可以使用 CryptoLyzer 使用相同工具完成,而不会妥协。 加密分析器 莫兹。观察。

    82610

    Nginx常见异常整理,帮你快速定位

    提示:文章前面部分是关于nginx下https连接curl请求被reset处理经历,不想看可以直接跳到最后看nginx快速定位异常,建议收藏! ?...查看证书未到期,通过myssl.com查询证书详情,没有问题 怀疑加密套件配置文件,添加兼容性更高加密套件后尝试,依然无果 附兼容性加密套件 "ECDHE-RSA-AES256-GCM-SHA384:...无法与对等体安全通信:无通用加密算法 问题没解决,还出来新问题了,猜测ECC算法兼容性问题,通过一番google之后,了解到如下信息 原来Redhat/CentOS服务器上curl默认是使用NSS库,...而在这两个系统上curl默认是禁用ECC加密,虽然服务端加密套件支持ECC,但是客户端不支持,所以请求失败,需要客户端curl通过指定加密套件来请求 curl --ciphers ecdhe_rsa_aes...抓包理解HTTPS请求流程》了解到,密钥交换阶段,这个步骤是可选步骤,对 Certificate 阶段补充,只有在这几个场景存在: 协商采用了RSA加密,但是服务端证书没有提供RSA公钥 协商采用了DH

    1.1K20

    Rabbitmq加密套件详解

    TLS1.3已经取消了重协商机制。 密码学套件 密码学套件是TLS发展了一段时间积累了很多密码学使用经验之后提出一整套解决方案。...数据加密算法用于信道建立之后加密传输数据,一般采用对称加密算法。...上述命令列出密码套件采用格式适用于客户端TLS连接socket加密。它们与配置值加密使用密码不一样。...加密套件顺序 在TLS连接协商期间,服务器和客户端将协商使用哪种密码套件。可以强制服务器TLS指示其首选项(根据密码套件顺序),以避免恶意客户端故意对弱密码套件进行协商进而对其进行攻击。...大多数开发环境使用自签名证书,而不必担心启用最佳密码套件集;等等。 脚本地址:https://testssl.sh/

    1.7K20
    领券