GH GambleHub

Terminarea și echilibrarea SSL

Scurt rezumat

Terminarea SSL/TLS elimină încărcarea cripto din aplicații și deschide calea către rutarea L7, WAF, limită de rată, mTLS, versiuni canare. Soluții cheie: în cazul în care pentru a termina TLS (margine/intrare/interiorul ochiurilor de plasă), cum să echilibreze (L4 vs L7), care cifru profiluri de utilizat, cum să actualizeze certificatele fără downtime, și cum să păstreze p95 latență și erori în SLO.

În cazul în care pentru a termina TLS

Edge (CDN/Anycast/WAF): latență minimă a utilizatorului, protecție globală, control cache/bot. Mai departe - re-cripta la backend.
La intrarea în L7 (Nginx/Envoy/HAProxy/ALB): rutare fină URI/antet, mTLS, validare JWT.
TLS end-to-end (passthrough L4): când este nevoie de mTLS end-to-end înainte de pod/service (ex. zona de conformitate strictă).
Service Mesh (Envoy/Istio/Linkerd): Automatizat intra-cluster mTLS, politică și telemetrie.

Practică: mai des - margine termina → re-cripta la intrare; pentru PII/plăți - mTLS înainte de serviciu.

Echilibrare L4 vs L7

L4 (TCP/UDP): întârziere minimă, controale de sănătate simple (port/TCP), TLS passthrough. Potrivit pentru gRPC pe TLS atunci când există o lipsă de caracteristici L7.
L7 (HTTP/HTTPS/HTTP3): host/path/header/cookie routing, WAF, rate-limite, versiuni canare, sesiuni lipicioase, retrays/timeout.

TLS: versiuni, chei, cifre

Versiuni: TLS 1. 3 peste tot, TLS 1. 2 ca o rezervă. Dezactivează 1. 0/1. 1.
Chei/sertare: ECDSA (P-256) - mai rapid decât RSA; puteți dubla stiva (ECDSA + RSA) pentru antichitate.
ALPN: "h2" и "http/1. 1`; pentru HTTP/3 - 'h3' (QUIC/UDP).
OCSP Capsare: include; HSTS pe domenii publice.
bazine cheie: stocate în KMS/HSM; reînnoire automată (ACME/trust tree).
0-RTT (TLS 1. 3): includeți punctul (GET/idempotent), luați în considerare riscul de reluare.

Profilul cifrului de bază (TLS 1. 2): „ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-AES256 GCM-SHA384: ECDHE-RSA-CHACHA20-POLY1305”

Performanţă TLS

Reluarea: bilete de sesiune/ID-uri - reduce costul strângerii de mână.
ECDSA + ChaCha20 ajutor pe mobil/non-AES-NI.
OCSP Capsare + lanțuri scurte reduce p95.
HTTP/2/3: multiplexare, mai puține conexiuni → mai puțin de p95.
Offload: nuclee CPU pin pentru cripto, permite reutilizarea, tampoane ton socket.

Siguranță

mTLS: necesită client-cert pentru declarații admin/API; CRL/OCSP în vederea revocării.
SNI/ECH: SNI - standard; ECH (Encr. ClientHello) ascunde domeniul (dacă furnizorul de margine îl acceptă).
Securitate strictă a transporturilor (HSTS): domenii de producție, cu precauție la început.
TLS între hamei: re-criptați la serviciu, chiar și în interiorul DC (Zero-Trust).
Rata-limită/gri-boi: pe L7 protejați api de boti/forță brută.

Observabilitate și SLO

SLO (exemple)

p95 TLS-strângere de mână ≤ 80-120 ms (global), p95 TTFB ≤ 200-300 ms.
TLS (strângere de mână/peer-verifica) erori ≤ 0. 1%.
Procentul de CV-uri ≥ de 70% pentru vizite repetate.

Măsurători

'handshake _ time', 'tls _ version', 'alpn',' cert _ expiration _ days', 'ocsp _ staple _ status'.
L7: 'p50/p95/p99', '5xx', '429', 'upstream _ rq _ time', 'retry _ budget'.
Capacitate: conexiuni active, CPS (conexiuni pe secundă), SPR.

Configurații tipice

Nginx (terminație L7 + HTTP/2 + capsare OCSP)

nginx server {
listen 443 ssl http2 reuseport;
server_name api.example.com;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:...:ECDHE-RSA-CHACHA20-POLY1305';
ssl_ecdh_curve X25519:P-256;
ssl_certificate   /etc/ssl/cert.pem;    # полная цепочка ssl_certificate_key /etc/ssl/key.pem;
ssl_stapling on; ssl_stapling_verify on;
ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

location / {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto https;
proxy_pass https://upstream_pool;
}
}

upstream upstream_pool {
zone backends 64k;
server 10.0.1.10:8443 max_fails=3 fail_timeout=10s;
server 10.0.1.11:8443 max_fails=3 fail_timeout=10s;
keepalive 256;
}

HAProxy (L7 termina + stickiness + mTLS la backend)

haproxy frontend fe_https bind:443 ssl crt /etc/haproxy/certs/ alpn h2,http/1.1 mode http http-response set-header Strict-Transport-Security max-age=31536000 default_backend be_api

backend be_api mode http balance roundrobin cookie SRV insert indirect nocache option httpchk GET /healthz server s1 10.0.1.10:8443 check ssl verify required ca-file /etc/haproxy/ca.pem server s2 10.0.1.11:8443 check ssl verify required ca-file /etc/haproxy/ca.pem

Trimisul (L7 termina + mTLS de la client + canar)

yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0.0.0.0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy.filters.network.http_connection_manager typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager stat_prefix: ingress route_config:
virtual_hosts:
- name: api domains: ["api.example.com"]
routes:
- match: { prefix: "/" }
route:
weighted_clusters:
clusters:
- name: api-stable weight: 95
- name: api-canary weight: 5 http_filters:
- name: envoy.filters.http.router transport_socket:
name: envoy.transport_sockets.tls typed_config:
"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext common_tls_context:
tls_certificates:
- certificate_chain: { filename: "/etc/tls/cert.pem" }
private_key:   { filename: "/etc/tls/key.pem" }
validation_context:       # mTLS (опционально)
trusted_ca: { filename: "/etc/tls/ca.pem" }
require_client_certificate: true

AWS ALB/NLB (concept)

ALB (L7 terminate): HTTPS ascultător 443 (TLS 1. 2/1. 3), HTTPs:8443 grupului țintă, verificarea sănătății „/healthz ”, stickiness (cookie).
NLB (L4 passthrough): ascultător TLS 443, controale de sănătate TCP, end-to-end SNI la pod.
CloudFront/Cloudflare: TLS edge + WAF + Bot management; origine - numai HTTPS.

Actualizarea certificatelor fără întreruperi

ACME (Let's Encrypt/Private CA) cu actualizare automată și repornire la cald (Nginx 'reîncărcare', Envoy SDS).
Certificate duble (ECDSA + RSA) pentru migrații.
Monitorizarea lanțului: verificarea AC intermediare; OCSP capsare după rotație.
Alerte: 'cert _ expiration _ days <21' și 'ocsp _ status! = good'.

Controale de sănătate și rutare

L4: conectare TCP, strângere de mână TLS.
L7: Versiunea jetonului 200/JSON HTTP, sănătatea gRPC.
Politicieni: failover, ponderat, latență, consistent-hash (cookie/IP) pentru lipicios.
Retrogradări/timeout-uri: echilibru între persistență și solicitări duplicate (idempotență!).

Modele de kubernete

Controler de intrare (Nginx/Envoy/HAProxy): terminație de intrare, "ExternalDNS' pentru înregistrări DNS," cert-manager "pentru ACME.
Gateway API: declarativ TLSRoute/HTTPRoute cu canari.
Service Mesh: pod↔pod automată mTLS, politici la nivelul „PeerAuthentication ”/„ DestinationRule”.

Lista de verificare a siguranței

  • TLS 1. 3 incluse; 1. 0/1. 1 sunt oprite.
  • Cifruri moderne; Sertare ECDSA în cazul în care suportul permite.
  • OCSP capsare, lanțuri complete, HSTS.
  • mTLS pentru administratori/interconectați; revocarea serturilor client.
  • Rata-limită/filtre bot la margine; protecție împotriva anteturilor slowloris/supradimensionate.
  • Re-criptare la backends (Zero-Trust).
  • Secretele/cheile în KMS/HSM; audit de rotație și emitere.

Observabilitate și alerte

Метрики: strângeri de mână TLS/sec, rata de eșec, rata de reluare a sesiunii, OCSP, p95/99, conuri deschise, CPS, RPS.
Jurnale: SNI/ALPN/TLS versiune, cifru, certificat de client (pentru mTLS), coduri în amonte, defalcare latență.
Alerte: creştere '5xx/525', reluare cădere, 'cert _ expiration _ days',' ocsp _ failed ', exces p95, piroane' 429 '.

Greșeli comune

Terminând la margine și simplu HTTP interior, fără protecție.
Lanțuri CA excesiv de lungi → creșterea strângerii de mână p95.
Fără capsare OCSP → blocare pe clienți/browsere.
Sesiuni lipicioase fără a lua în considerare eșecul → „lipirea” pe un nod degradat.
0-RTT activat pentru modificarea cererilor → risc de retrimitere.
Lipsa serurilor de reîncărcare la cald → a doua picături în timpul rotației.

Specificitate pentru iGaming/fintech

Vârfuri (turnee/meciuri): încălzirea sesiunilor TLS (pre-connect), lanțuri scurte, procent ridicat de reluare, HTTP/2/3 pentru fronturi.
Gateway-uri de plată/PSP: mTLS, cifre/versiuni stricte, CA fixat, domenii individuale/ALB cu reguli stricte.
Filtre antifraudă/bot: L7-rate-limit prin IP/ASN/amprentă-dispozitiv, boi gri canar (provocare/captcha) pe un domeniu separat.
Reglementare: HSTS, jurnalele TLS auditate, rapoartele versiunii, rechemarea serturilor clienților pentru incidente.

Mini cărți de redare

Eliberarea canarului prin L7 balancer

1. Adăugați un cluster „api-canar” cu o greutate de 5%; 2) ceas pentru p95/erori; 3) 5→25→50→100%; 4) auto-scurtarea în timpul degradării.

Rotirea certificatului de urgență

1. Descărcați noul cert/cheie; 2) „reîncărcare” fără conexiuni în scădere (SDS/hot swap); 3) verificarea OCSP; 4) dashboard p95 strângere de mână.

Pornirea HTTP/3

1. Deschideți UDP/443; 2) adăugați ALPN „h3”; 3) pierderi individuale QUIC/valori RTT; 4) A/B prin cota de client.

Rezultat

Terminarea eficientă a SSL este un profil TLS modern, locația de terminare corectă, rutare inteligentă L7, observabilitate și securitate puternică (mTLS, HSTS, re-criptare). Blocați totul în IaC, automatizați rotațiile, măsurați p95/erori și utilizați canarii - în acest fel frontul va supraviețui vârfurilor și va fi previzibil de rapid și sigur.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.