行业首创！内网服务 TLS 终止方案-电子发烧友网

在数据合规要求日益严格的背景下，企业内网穿透服务的安全模型正经历根本性变革。ZeroNews 近期推出的重磅功能 -TLS终止（TLS Termination）能力，无需复杂配置开发，仅通过简单页面配置操作即可实现端到端加密，为企业提供从“被动加密”到“主动掌控”的安全升级路径。

一、什么是TLS?

TLS是SSL（Secure Sockets Layer）协议的继任者，由 Netscape 于1994年首次推出（基于SSL），后由 IETF 标准化为TLS协议。其主要目标是为客户端（如浏览器）与服务器之间的通信建立加密通道，防止数据在传输过程中被窃听、篡改或伪造。

TLS通过结合非对称加密和对称加密技术实现安全通信：

非对称加密（握手阶段）

客户端与服务器协商加密算法（如RSA、Diffie-Hellman），验证服务器数字证书（基于X.509标准），并交换密钥材料。

服务器证书由受信任的证书颁发机构（CA）签发，确保服务器身份真实性。

对称加密（数据传输阶段）

双方生成共享的会话密钥（Session Key），用于加密实际传输的应用数据（如HTTP请求），效率更高。

二、ZeroNews TLS终止简介

默认情况下，ZeroNews 根据您创建的映射类型以不同的方式处理 TLS 连接。

对于HTTPS 映射，ZeroNews 会在 ZeroNews 云端边缘上为您终止 TLS 连接，因此您无需自行配置证书处理。我们会通过独立的自研加密隧道将流量转发到您的代理，以便您的数据在传输过程中始终受到保护。

对于TLS 协议建立的 TLS 映射服务，ZeroNews 默认不会终止TLS。您必须选择 TLS 终止的位置：

ZeroNews提供两种不同位置的TLS终止：1、在内网ZeroNews Agent处终止；2、在上游服务处终止

如果您选择在上游服务（即内网服务）终止，ZeroNews 网络和代理都无法看到您的流量。但这也意味着您必须在上游服务处理 TLS 终止，且您的本地服务必须配置有效的 TLS 证书（如 Let's Encrypt 或企业 CA 签发），且证书需被公网客户端信任。ZeroNews 不参与证书验证过程，仅确保加密数据完整传输。

如果您选择在 ZeroNews Agent 服务上终止 TLS 连接，我们采用的是最新、最安全的版本TLS 1.3 版本，1.3 版本初始握手只需一次往返，而 TLS 1.2 则需要两次往返，这不仅能节省您请求的宝贵毫秒数，还能让 Agent 无需任何握手即可恢复先前的连接。

另外，ZeroNews 也会提供处理所有证书的配置和更新，从而简化您的操作，让您有时间思考想要在基础架构中解决的更大项目。

关键安全提醒：在 ZeroNews 云端边缘终止或 ZeroNews 本地 Agent 终止模式下，TLS解密后的明文数据会立即通过ZeroNews自研的高性能加密隧道协议进行二次加密传输。该协议采用动态密钥交换（如ECDHE）和强加密算法（如AES-256-GCM），确保数据在ZeroNews服务器与用户本地服务之间的传输全程加密，防止中间节点窃听或篡改。

这与上游服务终止模式形成最本质的安全区别：在上游服务终止模式下，ZeroNews 仅作为加密数据的传输通道，全程无法接触到明文数据。因此，在选择 TLS 终止模式时，请务必根据数据敏感度仔细权衡便利性与安全性的需求。

使用HTTPS映射-云端边缘终止

如果您无法在上游服务终止您的TLS，且不需要在 ZeroNews Agent 终止 TLS，您可以通过 ZeroNews 在我们的云端边缘上为您终止 TLS，如上所述，后续的数据我们通过自研加密隧道将流量转发到您的代理。

这时候，您只需要创建一条HTTPS映射，那么您的映射将在 ZeroNews 云端边缘上打开 TLS 终止，从而节省大量的网络和证书相关工作。

使用TLS映射-ZeroNews Agent 终止

当您需将本地 HTTP 服务临时暴露至公网（如 Webhook 测试、API 调试），但不想为本地服务配置 TLS 证书。您可以选择 ZeroNews Agent 终止模式， ZeroNews本地Agent负责终止来自公网的TLS连接（提供HTTPS服务），并将解密后的HTTP流量转发给您的本地明文服务。