Cloudflare：什么是Keyless SSL？

Keyless SSL 是一種服務(wù)器端安全技術(shù)，允許客戶(hù)在使用 Cloudflare 的 HTTPS 流量性能和安全功能時(shí)，保留其 SSL 私鑰的唯一保管權(quán)。

概述

Keyless SSL 由 Cloudflare 的密碼學(xué)家、系統(tǒng)工程師和網(wǎng)絡(luò)專(zhuān)家團(tuán)隊(duì)開(kāi)發(fā)。Keyless SSL 受到多項(xiàng)美國(guó)專(zhuān)利的保護(hù)。應(yīng)用程序安全和加密領(lǐng)域的全球領(lǐng)導(dǎo)者已審計(jì) Cloudflare 的 Keyless SSL，包括 iSEC Partners 和 Matasano Security（兩者均為 NCC Group 的一部分）。

Keyless SSL 僅適用于 Enterprise 客戶(hù)。

Cloudflare 通過(guò)預(yù)先打包的無(wú)密鑰客戶(hù)端軟件包不斷擴(kuò)展支持的操作系統(tǒng)和發(fā)行版。

Keyless SSL 的優(yōu)勢(shì)

一些組織不遺余力地保護(hù)其私鑰，并部署成本高昂的硬件安全模塊（HSM）或其他控件。這些客戶(hù)希望保留其當(dāng)前的保護(hù)，同時(shí)將更多的基礎(chǔ)設(shè)施遷移到云中。Keyless SSL 使受監(jiān)管行業(yè)的客戶(hù)更容易使用 Cloudflare。網(wǎng)站訪問(wèn)者的優(yōu)勢(shì)是可以更快地訪問(wèn)啟用 Cloudflare 的網(wǎng)站，同時(shí)還提供 SSL 的隱私保護(hù)。

Keyless SSL 和站點(diǎn)性能

Keyless SSL 為初始客戶(hù)端連接帶來(lái)了輕微的延遲。確切的延遲取決于 Cloudflare 邊緣服務(wù)器與客戶(hù)源網(wǎng)站之間的網(wǎng)絡(luò)延遲，但通常在數(shù)十或數(shù)百毫秒之間。  Cloudflare 有兩項(xiàng)主要技術(shù)可幫助減輕潛在的 Keyless SSL 性能影響：

1.會(huì)話(huà)高速緩存和會(huì)話(huà)票證：

允許 Keyless SSL 重用之前協(xié)商的對(duì)稱(chēng)會(huì)話(huà)密鑰，而無(wú)需與 Keyless SSL 客戶(hù)端建立新連接。

2.持久連接：

允許無(wú)密鑰客戶(hù)端和 Cloudflare 基礎(chǔ)設(shè)施之間的連接永久保持打開(kāi)狀態(tài)，以消除連接設(shè)置開(kāi)銷(xiāo)。

Cloudflare Keyless SSL 與源終止 SSL 之間的性能差異因最終用戶(hù)、Cloudflare 和源之間的延遲而異。在許多情況下，即使對(duì)于 SSL 客戶(hù)端的第一次連接，Keyless SSL 也會(huì)更快。Cloudflare Keyless SSL 在后續(xù)連接上通常比直接到源 SSL 連接更快。