SSL解除安裝的工作原理

1.SSL 終結

使用SSL解除安裝功能的應用交付裝置充當負載均衡器的角色。

將專用的SSL應用交付裝置（採用專用的SSL解除安裝硬體晶片）置於網路伺服器的前端，把所有傳入的客戶端請求引導到伺服器，在伺服器之間平衡或分配客戶端的負載，使客戶端只需要和SSL應用交付裝置互動即可。這樣，任何伺服器的承載能力都不會過載；同時，客戶端發起的HTTPS連線，經過SSL應用交付裝置處理後，變成明文的HTTP資料，即可被WEB服務程式(例如IIS、APACHE)直接讀取，無需特殊的驅動程式來傳送和接受網路資料，從而提高伺服器效能。

這一過程中，當客戶端嘗試連線到網站時，首先會連線到SSL應用交付裝置——該連線是HTTPS；而交付裝置和應用伺服器之間的連線是HTTP。其中，SSL應用交付裝置充當了SSL終結器的角色，因此這一過程又稱為SSL終結。

下面是SSL終結的視覺化圖：

2. SSL 橋接

除了透過HTTP傳送流量和請求外，SSL橋接在概念上與SSL終結非常相似，它會在將所有內容傳送到應用程式伺服器之前，進行重新加密。

下面是SSL橋接的視覺化圖：

SSL解除安裝的好處

1. 提高伺服器效能： 透過解除安裝應用伺服器上額外的SSL加密解密任務，使伺服器專注於它們的主要功能，降低伺服器負荷。

2. 降低管理員操作複雜性： 無需管理和配置多個伺服器的證書，只需要在前端交付裝置上實現即可。

3. 根據使用的SSL應用交付裝置（負載均衡器）的不同，它還可以 幫助進行HTTPS檢查、反向代理、cookie永續性、流量管理等等：在某些情況下，SSL解除安裝可以幫助進行流量檢查。與加密一樣重要的是，它有一個主要缺點：攻擊者可以隱藏在加密流量中。由於這一點，出現了很多引人注目的漏洞，比如，Magecart就使用HTTPS流量來混淆從各種支付頁面中竊取的PCI。

因此，一旦你的組織達到一定的規模，檢查HTTPS流量就很有必要了。而實現這一點的最好方法之一就是進行SSL解除安裝處理，無論是SSL終結還是SSL橋接，都允許你執行流量檢查，在處理高併發流量時可以提供極大的幫助。

是否使用SSL解除安裝？

坦率地說，這一切都取決於您網站型別及流量。

像ESPN或CNN這樣 大型的媒體網站應當非常適合使用負載均衡器，因為它們都能處理大量的流量；另一方面，如果你只是為當地一家麵包店運營一個網站，那麼讓你的伺服器去處理所有的事情就可以了——尤其是TLS 1.3進行了改進的情況下。

。

本文轉自https://www.racent.com/blog/ssl-offloading-bridging-termination

SSL解除安裝的工作原理及好處