在數(shù)據(jù)合規(guī)要求日益嚴(yán)格的背景下，企業(yè)內(nèi)網(wǎng)穿透服務(wù)的安全模型正經(jīng)歷根本性變革。ZeroNews 近期推出的重磅功能 -TLS終止（TLS Termination） 能力，無(wú)需復(fù)雜配置開(kāi)發(fā)，僅通過(guò)簡(jiǎn)單頁(yè)面配置操作即可實(shí)現(xiàn)端到端加密，為企業(yè)提供從“被動(dòng)加密”到“主動(dòng)掌控”的安全升級(jí)路徑。

一、什么是TLS?

TLS是SSL（Secure Sockets Layer）協(xié)議的繼任者，由 Netscape 于1994年首次推出（基于SSL），后由 IETF 標(biāo)準(zhǔn)化為T(mén)LS協(xié)議。其主要目標(biāo)是為客戶(hù)端（如瀏覽器）與服務(wù)器之間的通信建立加密通道 ，防止數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)、篡改或偽造。

TLS通過(guò)結(jié)合 非對(duì)稱(chēng)加密 和 對(duì)稱(chēng)加密 技術(shù)實(shí)現(xiàn)安全通信：

非對(duì)稱(chēng)加密（握手階段）

客戶(hù)端與服務(wù)器協(xié)商加密算法（如RSA、Diffie-Hellman），驗(yàn)證服務(wù)器數(shù)字證書(shū)（基于X.509標(biāo)準(zhǔn)），并交換密鑰材料。

服務(wù)器證書(shū)由受信任的 證書(shū)頒發(fā)機(jī)構(gòu)（CA）簽發(fā)，確保服務(wù)器身份真實(shí)性。

對(duì)稱(chēng)加密（數(shù)據(jù)傳輸階段）

雙方生成共享的會(huì)話(huà)密鑰（Session Key） ，用于加密實(shí)際傳輸?shù)膽?yīng)用數(shù)據(jù)（如HTTP請(qǐng)求），效率更高。

二、ZeroNews TLS終止簡(jiǎn)介

默認(rèn)情況下，ZeroNews 根據(jù)您創(chuàng)建的映射類(lèi)型以不同的方式處理 TLS 連接。

對(duì)于HTTPS 映射，ZeroNews 會(huì)在 ZeroNews 云端邊緣上為您終止 TLS 連接，因此您無(wú)需自行配置證書(shū)處理。我們會(huì)通過(guò)獨(dú)立的自研加密隧道將流量轉(zhuǎn)發(fā)到您的代理，以便您的數(shù)據(jù)在傳輸過(guò)程中始終受到保護(hù)。

對(duì)于TLS 協(xié)議建立的 TLS 映射服務(wù)，ZeroNews 默認(rèn)不會(huì)終止TLS。您必須選擇 TLS 終止的位置：

ZeroNews提供兩種不同位置的TLS終止：1、在內(nèi)網(wǎng)ZeroNews Agent處終止；2、在上游服務(wù)處終止

如果您選擇在上游服務(wù)（即內(nèi)網(wǎng)服務(wù)）終止，ZeroNews 網(wǎng)絡(luò)和代理都無(wú)法看到您的流量。但這也意味著您必須在上游服務(wù)處理 TLS 終止，且您的本地服務(wù)必須配置有效的 TLS 證書(shū) （如 Let's Encrypt 或企業(yè) CA 簽發(fā)），且證書(shū)需被公網(wǎng)客戶(hù)端信任。ZeroNews 不參與證書(shū)驗(yàn)證過(guò)程，僅確保加密數(shù)據(jù)完整傳輸 。

如果您選擇在 ZeroNews Agent 服務(wù)上終止 TLS 連接，我們采用的是最新、最安全的版本TLS 1.3 版本，1.3 版本初始握手只需一次往返，而 TLS 1.2 則需要兩次往返，這不僅能節(jié)省您請(qǐng)求的寶貴毫秒數(shù)，還能讓 Agent 無(wú)需任何握手即可恢復(fù)先前的連接。

另外，ZeroNews 也會(huì)提供處理所有證書(shū)的配置和更新，從而簡(jiǎn)化您的操作，讓您有時(shí)間思考想要在基礎(chǔ)架構(gòu)中解決的更大項(xiàng)目。

關(guān)鍵安全提醒：在 ZeroNews 云端邊緣終止或 ZeroNews 本地 Agent 終止模式下，TLS解密后的明文數(shù)據(jù)會(huì)立即通過(guò)ZeroNews自研的高性能加密隧道協(xié)議進(jìn)行二次加密傳輸。該協(xié)議采用動(dòng)態(tài)密鑰交換（如ECDHE）和強(qiáng)加密算法（如AES-256-GCM），確保數(shù)據(jù)在ZeroNews服務(wù)器與用戶(hù)本地服務(wù)之間的傳輸全程加密，防止中間節(jié)點(diǎn)竊聽(tīng)或篡改。

這與上游服務(wù)終止模式形成最本質(zhì)的安全區(qū)別：在上游服務(wù)終止模式下，ZeroNews 僅作為加密數(shù)據(jù)的傳輸通道，全程無(wú)法接觸到明文數(shù)據(jù)。因此，在選擇 TLS 終止模式時(shí)，請(qǐng)務(wù)必根據(jù)數(shù)據(jù)敏感度仔細(xì)權(quán)衡便利性與安全性的需求。

使用HTTPS映射-云端邊緣終止

如果您無(wú)法在上游服務(wù)終止您的TLS，且不需要在 ZeroNews Agent 終止 TLS，您可以通過(guò) ZeroNews 在我們的云端邊緣上為您終止 TLS，如上所述，后續(xù)的數(shù)據(jù)我們通過(guò)自研加密隧道將流量轉(zhuǎn)發(fā)到您的代理。

這時(shí)候，您只需要?jiǎng)?chuàng)建一條HTTPS映射，那么您的映射將在 ZeroNews 云端邊緣上打開(kāi) TLS 終止，從而節(jié)省大量的網(wǎng)絡(luò)和證書(shū)相關(guān)工作。

使用TLS映射-ZeroNews Agent 終止

當(dāng)您需將本地 HTTP 服務(wù)臨時(shí)暴露至公網(wǎng)（如 Webhook 測(cè)試、API 調(diào)試），但不想為本地服務(wù)配置 TLS 證書(shū)。您可以選擇 ZeroNews Agent 終止模式， ZeroNews本地Agent負(fù)責(zé)終止來(lái)自公網(wǎng)的TLS連接（提供HTTPS服務(wù)），并將解密后的HTTP流量轉(zhuǎn)發(fā)給您的本地明文服務(wù)。

如果您還沒(méi)有 TLS 證書(shū)，我們也提供文檔【自動(dòng)生成TLS證書(shū)】指導(dǎo)您創(chuàng)建自簽名證書(shū)。

使用TLS映射-上游服務(wù)終止

當(dāng)企業(yè)需實(shí)現(xiàn)端到端加密（E2E）且100% 自主掌控私鑰時(shí)（如金融、醫(yī)療等需端到端加密，且滿(mǎn)足 GDPR、HIPAA 等法規(guī)要求，確保敏感數(shù)據(jù)（如支付信息、病歷）全程加密，避免中間節(jié)點(diǎn)（ZeroNews 服務(wù)器）接觸明文的應(yīng)用場(chǎng)景）可以選擇上游服務(wù)終止模式。

該模式下，ZeroNews 不終止TLS ，僅轉(zhuǎn)發(fā)加密流量，TLS握手完全在客戶(hù)端與您的本地服務(wù)之間進(jìn)行。因此， 證書(shū)有效性、協(xié)議版本、加密強(qiáng)度完全由您的本地服務(wù)決定和控制 。

三步搭建TLS映射

為簡(jiǎn)化傳統(tǒng)TLS終止的復(fù)雜配置流程，ZeroNews推出 可視化云端控制臺(tái) ，徹底替代繁瑣的API 證書(shū)上傳操作。只需三步即可完成部署：

● 訂閱服務(wù)：?jiǎn)⒂闷髽I(yè)或團(tuán)隊(duì)訂閱服務(wù)，或獨(dú)立開(kāi)通“自有域名+TLS終止”功能；

● 域名配置：提交自有域名并通過(guò)自動(dòng)審核；

● 映射創(chuàng)建：下載并啟用Agent，在控制臺(tái)創(chuàng)建TLS映射并選擇終止位置（邊緣/Agent/上游）。

全場(chǎng)景支持：無(wú)論是入口網(wǎng)關(guān)統(tǒng)一管控、微服務(wù)間TLS通信、開(kāi)發(fā)環(huán)境臨時(shí)暴露，還是企業(yè)級(jí)端到端加密（如金融數(shù)據(jù)庫(kù)遠(yuǎn)程訪(fǎng)問(wèn)），ZeroNews均提供開(kāi)箱即用的安全解決方案。

審核編輯 黃宇