阿里云WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?

阿里云Web应用防火墙在防护HTTPS业务时，需要您上传对应的SSL证书及密钥，用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器（Key Server）来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS（Key Management Service），能够保护证书和密钥的数据安全性、完整性和可用性，符合监管和等保合规要求。关于KMS的详细介绍，请参见什么是密钥管理服务。

WAF使用您上传的SSL证书及密钥解密HTTPS业务流量，只用于实时检测。我们只会记录包含攻击特征（payload）的部分请求内容，用于攻击报表展示、数据统计等，不会在您未授权的情况下，记录全量的请求或响应内容。

阿里云Web应用防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证，且作为标准的阿里云云产品，在云平台层面具备与阿里云同等水平的安全合规资质。详细内容，请参见阿里云信任中心。

说明使用WAF防护HTTPS业务时，您也可以选择双证书方案，即在WAF上使用一套证书及密钥，在源站服务器上使用另一套证书及密钥（两套证书及密钥必须都是合法的），以便将上传到WAF的证书及密钥与源站服务器的证书及密钥分开管理。
https://ds.fanyaozu.com/tag/2021%e5%85%a8%e5%9b%bd%e7%bd%91%e4%b8%8a%e5%b9%b4%e8%b4%a7%e8%8a%82%e5%b0%86%e4%ba%8e1%e6%9c%8820%e6%97%a5%e5%90%af%e5%8a%a8

转载请注明：电商实战教程 » 阿里云WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?