Что такое Origin SSL Certificate Verification

В EdgeCDN используются передовые технологии защиты и безопасной доставки контента.

Для усиления безопасности мы встроили в процесс получения контента механизм контроля подлинности сервера-источника.

Зачем нужен Origin SSL certificate

При настройке «Протокола взаимодействия с источником» вы задаёте протокол, по которому CDN-серверы будут обращаться к источнику за контентом. Вы можете выбрать, будет соединение зашифровано (HTTPS) или нет (HTTP).

При выборе HTTPS кеш-серверы будут обращаться и получать контент с источника по протоколу HTTPS. Этот процесс зашифрован, но он не спасает от угроз типа «атака посредника» («человек посередине»), поскольку по умолчанию при запросе контента кеш-сервер не проверяет, принадлежит ли ответивший сервер клиенту.

Для гарантированной безопасности передаваемых данных воспользуйтесь опцией «Валидация источника с помощью SSL».

Также опция позволяет клиентам проверять достоверность запросов от наших кеш-серверов без использования списка IP-адресов и его постоянного обновления.

Как это работает

Вы указываете публичную часть цифрового сертификата X.509 в нашей системе в PEM-кодировке. Другая часть сертификата хранится у вас на сервере-источнике. Каждому сертификату в системе присваивается свой идентификатор. Эта информация хранится на каждом CDN-сервере. В любой момент вы сможете запросить данные о сертификате (или обо всех имеющихся в системе сертификатах), а также изменить его название.

При поступившем от пользователя запросе кеш-сервер обратится к серверу-источнику за доступом к защищённой информации.

1. В ответ сервер-источник предоставит свой сертификат X.509.
2. Кеш-сервер проверит цифровую подпись публичного ключа, имеющегося в системе.
3. В случае успеха кеш-сервер отправит свой сертификат на сервер-источник.
4. Сервер-источник проверит полученный сертификат тем же способом.
5. Если и эта проверка прошла успешно, сервер-источник предоставит доступ к защищённой информации.
6. CDN заберёт контент с сервера-источника и закеширует его для передачи пользователю.
7. Если проверка сертификата не удалась, кеш-сервер автоматически отклоняет запрос и не отправляет данные на неподтверждённый сервер.

Как подключить опцию

Пока опция подключается только через API.