Что такое Origin SSL Certificate Verification

В EdgeЦентр CDN используются передовые технологии защиты и безопасной доставки контента.

Для усиления безопасности мы встроили в процесс получения контента механизм контроля подлинности сервера-источника.

Зачем нужен Origin SSL Certificate

При настройке «Протокола взаимодействия с источником» вы задаёте протокол, по которому CDN-серверы будут обращаться к источнику за контентом. Вы можете выбрать, будет соединение зашифровано (HTTPS) или нет (HTTP).

При выборе HTTPS кеш-серверы будут обращаться и получать контент с источника по протоколу HTTPS. Этот процесс зашифрован, но он не спасает от угроз типа «атака посредника» («человек посередине»), поскольку по умолчанию при запросе контента кеш-сервер не проверяет, принадлежит ли ответивший сервер клиенту.

Схема атаки типа «человек посередине»

Для гарантированной безопасности передаваемых данных воспользуйтесь опцией «Валидация источника с помощью SSL».

Также опция позволяет клиентам проверять достоверность запросов от наших кеш-серверов без использования списка IP-адресов и его постоянного обновления.

Как это работает

Вы указываете публичную часть цифрового сертификата X.509 в нашей системе в PEM-кодировке. Другая часть сертификата хранится у вас на сервере-источнике. Каждому сертификату в системе присваивается свой идентификатор. Эта информация хранится на каждом CDN-сервере. В любой момент вы сможете запросить данные о сертификате (или обо всех имеющихся в системе сертификатах), а также изменить его название.

1. При поступившем от пользователя запросе кеш-сервер обратится к серверу-источнику за доступом к защищённой информации.
2. В ответ сервер-источник предоставит свой сертификат X.509.
3. Кеш-сервер проверит цифровую подпись публичного ключа, имеющегося в системе.
4. В случае успеха кеш-сервер отправит свой сертификат на сервер-источник.
5. Сервер-источник проверит полученный сертификат тем же способом.
6. Если и эта проверка прошла успешно, сервер-источник предоставит доступ к защищённой информации.
7. CDN заберёт контент с сервера-источника и закеширует его для передачи пользователю.
8. Если проверка сертификата не удалась, кеш-сервер автоматически отклоняет запрос и не отправляет данные на неподтверждённый сервер.

Как подключить опцию

Пока опция подключается только через API.