在數(shù)據(jù)合規(guī)要求日益嚴格的背景下，企業(yè)內(nèi)網(wǎng)穿透服務(wù)的安全模型正經(jīng)歷根本性變革。ZeroNews 近期推出的重磅功能 -TLS終止（TLS Termination） 能力，無需復(fù)雜配置開發(fā)，僅通過簡單頁面配置操作即可實現(xiàn)端到端加密，為企業(yè)提供從“被動加密”到“主動掌控”的安全升級路徑。

一、什么是TLS?

TLS是SSL（Secure Sockets Layer）協(xié)議的繼任者，由 Netscape 于1994年首次推出（基于SSL），后由 IETF 標準化為TLS協(xié)議。其主要目標是為客戶端（如瀏覽器）與服務(wù)器之間的通信建立加密通道 ，防止數(shù)據(jù)在傳輸過程中被竊聽、篡改或偽造。

TLS通過結(jié)合 非對稱加密 和 對稱加密 技術(shù)實現(xiàn)安全通信：

非對稱加密（握手階段）

客戶端與服務(wù)器協(xié)商加密算法（如RSA、Diffie-Hellman），驗證服務(wù)器數(shù)字證書（基于X.509標準），并交換密鑰材料。

服務(wù)器證書由受信任的 證書頒發(fā)機構(gòu)（CA）簽發(fā)，確保服務(wù)器身份真實性。

對稱加密（數(shù)據(jù)傳輸階段）

雙方生成共享的會話密鑰（Session Key） ，用于加密實際傳輸?shù)膽?yīng)用數(shù)據(jù)（如HTTP請求），效率更高。

二、ZeroNews TLS終止簡介

默認情況下，ZeroNews 根據(jù)您創(chuàng)建的映射類型以不同的方式處理 TLS 連接。

對于HTTPS 映射，ZeroNews 會在 ZeroNews 云端邊緣上為您終止 TLS 連接，因此您無需自行配置證書處理。我們會通過獨立的自研加密隧道將流量轉(zhuǎn)發(fā)到您的代理，以便您的數(shù)據(jù)在傳輸過程中始終受到保護。

對于TLS 協(xié)議建立的 TLS 映射服務(wù)，ZeroNews 默認不會終止TLS。您必須選擇 TLS 終止的位置：

ZeroNews提供兩種不同位置的TLS終止：1、在內(nèi)網(wǎng)ZeroNews Agent處終止；2、在上游服務(wù)處終止

如果您選擇在上游服務(wù)（即內(nèi)網(wǎng)服務(wù)）終止，ZeroNews 網(wǎng)絡(luò)和代理都無法看到您的流量。但這也意味著您必須在上游服務(wù)處理 TLS 終止，且您的本地服務(wù)必須配置有效的 TLS 證書 （如 Let's Encrypt 或企業(yè) CA 簽發(fā)），且證書需被公網(wǎng)客戶端信任。ZeroNews 不參與證書驗證過程，僅確保加密數(shù)據(jù)完整傳輸 。

如果您選擇在 ZeroNews Agent 服務(wù)上終止 TLS 連接，我們采用的是最新、最安全的版本TLS 1.3 版本，1.3 版本初始握手只需一次往返，而 TLS 1.2 則需要兩次往返，這不僅能節(jié)省您請求的寶貴毫秒數(shù)，還能讓 Agent 無需任何握手即可恢復(fù)先前的連接。

另外，ZeroNews 也會提供處理所有證書的配置和更新，從而簡化您的操作，讓您有時間思考想要在基礎(chǔ)架構(gòu)中解決的更大項目。

關(guān)鍵安全提醒：在 ZeroNews 云端邊緣終止或 ZeroNews 本地 Agent 終止模式下，TLS解密后的明文數(shù)據(jù)會立即通過ZeroNews自研的高性能加密隧道協(xié)議進行二次加密傳輸。該協(xié)議采用動態(tài)密鑰交換（如ECDHE）和強加密算法（如AES-256-GCM），確保數(shù)據(jù)在ZeroNews服務(wù)器與用戶本地服務(wù)之間的傳輸全程加密，防止中間節(jié)點竊聽或篡改。

這與上游服務(wù)終止模式形成最本質(zhì)的安全區(qū)別：在上游服務(wù)終止模式下，ZeroNews 僅作為加密數(shù)據(jù)的傳輸通道，全程無法接觸到明文數(shù)據(jù)。因此，在選擇 TLS 終止模式時，請務(wù)必根據(jù)數(shù)據(jù)敏感度仔細權(quán)衡便利性與安全性的需求。

使用HTTPS映射-云端邊緣終止

如果您無法在上游服務(wù)終止您的TLS，且不需要在 ZeroNews Agent 終止 TLS，您可以通過 ZeroNews 在我們的云端邊緣上為您終止 TLS，如上所述，后續(xù)的數(shù)據(jù)我們通過自研加密隧道將流量轉(zhuǎn)發(fā)到您的代理。

這時候，您只需要創(chuàng)建一條HTTPS映射，那么您的映射將在 ZeroNews 云端邊緣上打開 TLS 終止，從而節(jié)省大量的網(wǎng)絡(luò)和證書相關(guān)工作。

使用TLS映射-ZeroNews Agent 終止

當您需將本地 HTTP 服務(wù)臨時暴露至公網(wǎng)（如 Webhook 測試、API 調(diào)試），但不想為本地服務(wù)配置 TLS 證書。您可以選擇 ZeroNews Agent 終止模式， ZeroNews本地Agent負責終止來自公網(wǎng)的TLS連接（提供HTTPS服務(wù)），并將解密后的HTTP流量轉(zhuǎn)發(fā)給您的本地明文服務(wù)。

如果您還沒有 TLS 證書，我們也提供文檔【自動生成TLS證書】指導(dǎo)您創(chuàng)建自簽名證書。

使用TLS映射-上游服務(wù)終止

當企業(yè)需實現(xiàn)端到端加密（E2E）且100% 自主掌控私鑰時（如金融、醫(yī)療等需端到端加密，且滿足 GDPR、HIPAA 等法規(guī)要求，確保敏感數(shù)據(jù)（如支付信息、病歷）全程加密，避免中間節(jié)點（ZeroNews 服務(wù)器）接觸明文的應(yīng)用場景）可以選擇上游服務(wù)終止模式。

該模式下，ZeroNews 不終止TLS ，僅轉(zhuǎn)發(fā)加密流量，TLS握手完全在客戶端與您的本地服務(wù)之間進行。因此， 證書有效性、協(xié)議版本、加密強度完全由您的本地服務(wù)決定和控制 。

三步搭建TLS映射

為簡化傳統(tǒng)TLS終止的復(fù)雜配置流程，ZeroNews推出 可視化云端控制臺 ，徹底替代繁瑣的API 證書上傳操作。只需三步即可完成部署：

● 訂閱服務(wù)：啟用企業(yè)或團隊訂閱服務(wù)，或獨立開通“自有域名+TLS終止”功能；

● 域名配置：提交自有域名并通過自動審核；

● 映射創(chuàng)建：下載并啟用Agent，在控制臺創(chuàng)建TLS映射并選擇終止位置（邊緣/Agent/上游）。

全場景支持：無論是入口網(wǎng)關(guān)統(tǒng)一管控、微服務(wù)間TLS通信、開發(fā)環(huán)境臨時暴露，還是企業(yè)級端到端加密（如金融數(shù)據(jù)庫遠程訪問），ZeroNews均提供開箱即用的安全解決方案。

審核編輯 黃宇