CNAME是英语教名的缩写。它是域名解析系统中的资源记录,用于将一个域名映射到另一个域名。我更愿意翻译成“别名解析”。零网站安全云服务只需要用户做两次CNAME分析,就可以在10分钟内完全实现https加密和云WAF保护。用户无需向CA申请SSL证书或安装SSL证书或其他客户端软件。这篇文章将告诉你如何做到这一点。
众所周知,要实现https加密,必须要有SSL证书,这是任何人都跑不掉的。而购买了零信任网站安全云服务的用户,不需要向CA申请SSL证书。零信任云SSL系统的自动化帮助用户向CA申请证书,申请SSL证书必须完成域名控制权的验证。这是国际标准要求的,谁也绕不开。以及如何验证域名控制?国际标准支持三种方式。一种是发送验证码到站长@域名,用户在证书申请页面粘贴验证码即可通过验证。当然,还支持其他四种邮箱:postmaster @、hostmaster @、admin @、administrator @。这种方式的不便之处在于,用户可能没有这些邮箱,或者即使有这些邮箱,也无法收到域名验证系统发送的验证码。因此,我们没有使用这种方法来验证域名控制。还有另一种验证方法,要求用户将包含特定内容的文件放在服务器上的特定目录中。这种方法无法实时完成,因为用户可能无法操作服务器。因此,我们没有使用这种方法来验证域名控制。
我们采用第三种方法——CNAME验证。CA系统自动为CNAME解析的域名生成一个短验证码,而另一个长验证码用于CNAME解析的值。设置完成后,域名验证系统将通过域名解析系统获取这两个验证码,完成域名验证。这种验证机制是基于用户可以按要求做域名解析,当然可以证明用户拥有这个域名的控制权。CNAME域名验证完成后,SSL证书可以自动颁发。
这是使用零信任网站的安全云服务必须完成的第一个CNAME域名解析。证明用户有权使用该域名,在完成验证后,可以向该域名颁发绑定该域名的SSL证书。但是,我们不会把SSL证书给用户,用户也不需要这个SSL证书。用户需要的是https加密服务。
用户的域名控制通过验证后,系统会设置云WAF服务,并将SSL证书部署到云WAF。设置完成后,用户将获得一个云WAF系统的CNAME访问地址。用户只需将www域CNAME解析为云WAF访问地址,即可立即启用云WAF保护和https加密服务。
如下图黑色箭头方向所示,在购买零信网站安全云服务之前,用户以http明文不安全的方式访问网站。如下图绿线箭头方向所示,第二次CNAME域名解析后,用户对网站的访问变成https加密访问。首先接入云WAF服务,然后云WAF检查连接是否合法再去源网站获取用户想要访问的资源并返回给用户。CNAME域名解析重定向访问路由,不是直接访问网站,而是先访问云WAF的网址,云WAF负责安全功能拦截恶意攻击,释放正常访问,保护网站安全。
读者从上图可以看出,CNAME分辨率改变了用户访问网站的路线,从而达到了自动为网站提供安全防护的目的。打个形象的比喻,原来网站访问者是通过不安全的大门进入网站的,没有安全保障。现在有了零信任网站安全云服务,原本不安全的大门被关闭了,网站访问者被引导到另一个有安全保障的大门,不仅检查访问者是否是恶意攻击者并拦截攻击者,还为正常访问者访问网站资源提供了加密通道。
这种双重保护功能只能通过两个CNAME域名解析来实现。CNAME域名解析起到了关键作用,让用户无需向CA申请SSL证书,也无需安装任何客户端软件,就能全自动实现https加密和WAF保护。因此,作者称赞CNAME为“神奇的CNAME”。
