网宿HTTPS 服务重磅升级，更快、更安全、更放心

随着互联网的快速发展，HTTPS的使用日趋普及。相比于传统的HTTP传输协议，HTTPS为数据传输构建了一条加密通道：SSL/TSL加密通道，它比HTTP多了加密、认证、鉴定，充分保证用户信息安全。

然而随着HTTPS的发展，随之而来的问题也接踵而至。因为HTTPS比HTTP多了SSL握手，故在传输的过程中最直接的表现是慢，HTTPS未经优化的情况下要比HTTP慢几百毫秒以上，而且在相同的时间成本下，HTTPS要比 HTTP更加消耗服务器资源。

图：HTTPS网站访问过程

在HTTPS加密数据的传输过程中，从源站服务器的性能、证书加密位数、互联网链路状况等因素都会直接或间接影响到终端用户的访问体验。

因此网宿全站加速产品（Whole Site Accelerator，简称WSA）针对当前存在的问题，在原有的HTTPS优化的基础上，再次发布一系列新功能。WSA是网宿自主研发的，集网站动静态内容加速、服务保障、安全防护于一体的高效、稳定、安全的一站式加速产品。WSA可智能区分动静态内容，就近节点获取缓存静态内容，快速回源传输动态内容，实现网站整体加速与实时优化，避开网络拥塞，显著加快访问速度，提高访问成功率。

更快：证书优选

证书是使用HTTPS加密传输的核心基础，证书包括一个公共密钥和一个私用密钥。证书的格式一般包含两种格式：ECC格式和RSA格式。（注释：内置 ECDSA 公钥的证书一般被称之为 ECC 证书，内置 RSA 公钥的证书就是 RSA 证书。）浏览器会在两个步骤中用到证书：①证书合法性校验，确保证书由合法 CA 签署以及使用证书提供的非对称加密公钥；②完成密钥交换和服务端认证。

ECC证书相比RSA证书的优势在于安全性高（256位ECC证书安全强度相当于3072位RSA证书）、加解密速度快，能够将HTTPS请求速度提升25%~35%。同时，CPU占有率相比使用RSA能够降低40%~60%，有图有真相，以下是ECC证书和RSA证书的性能测试报告。

网宿WSA产品通过在CDN节点部署RSA和ECC两份证书，在SSL握手过程中，根据客户端对证书的支持情况，优先使用ECC证书，以达到更好的服务效果。

更安全：双向认证

当前绝大多数HTTPS 为单向认证，即浏览器可以验证服务器的身份，服务器无法验证浏览器的身份。然而，在某些特定的场景下，服务器需要验证用户的身份，以确定该用户是否为服务器所需要服务的目标对象。

例如，在汽车行业中，车企需要与各地经销商之间进行频繁互动，通畅都通过“经销商平台”来实现。经销商访问总部的关键数据时，常常需要对经销商的身份进行验证，与此同时，经销商也需要验证总部的真实性。

针对这个问题，网宿WSA产品对HTTPS进行了双向认证的升级，针对使用CDN加速的网站，提供“用户—CDN节点”和“CDN节点—源站”两端双向认证功能，全方位保障业务和源站安全，从而使HTTPS的传递更加安全和可靠。而对于分散在各地的车企经销商而言，CDN遍布全球的节点能够充分地覆盖到每一个经销商，在就近的节点即可实现总部对经销商访问权限的控制，大大减少了HTTPS认证的耗时，同时节省了传统人力验证的成本。

更放心：无私钥驻留

HTTPS传输采用公钥和私钥进行非对称加解密。公钥是对外公开的，私钥是不对外公开的，具有唯一性。对于安全审核比较严格的企业来说，往往更加看重自己的证书和私钥的安全性，不希望提供给CDN厂商。为此网宿针对这一情况推出了“HTTPS无私钥驻留加速方案”。旨在消除客户对证书安全的顾虑，提供高效、安全、稳定的HTTPS加速服务。

在常规的SSL握手过程中，客户的私钥仅仅使用到一次，因此WSA产品将私钥解密的操作从SSL握手中分离出来，交由专门的私钥服务器来处理，并将私钥服务器的管理权交给客户。利用私钥服务器使用私钥解密获得随机密码，并返回给CDN节点。

更难得的是，将私钥解密分离操作，虽然增加了一个步骤，但通过网宿的异步处理技术，几乎不会增加请求延时，甚至在某些特定情况下，请求速度还能优于常规HTTPS。

通过测试对比我们发现，在并发数超过200，请求数过50000次时，异步处理ECDHE和AES密钥，请求速度有明显提升。

互联网正从HTTP迈向HTTPS时代，信息安全成为企业关注的重点，越来越多的企业（如：汽车、金融、电商、游戏、资讯等行业。）网站为了保护用户数据安全而选择了HTTPS加密，所以HTTPS的改造将逐步蔓延到更多行业。

网宿“WSA全站加速产品”将会为企业信息化从HTTP迈向HTTPS时代的过程中提供全站安全加速一体化服务。让企业信息化更快、更安全、更放心。