信息安全是當今數字業(yè)務的核心關注的問題。ZeroNews 持續(xù)關注并致力于提升用戶的數據傳輸安全。本次更新，我們特別引入了 TLS 終止能力，為企業(yè)提供一種更高級別的、自主掌控加密密鑰的數據保護選項。

不同數據傳輸安全模型

● HTTP 映射： 這是基礎的內網穿透方式。用戶創(chuàng)建 HTTP 映射后，數據在公網傳輸時通常為明文。對于涉及敏感信息（如登錄憑證、支付信息）的系統，明文傳輸存在潛在風險。這也是為什么主流平臺普遍采用 HTTPS (基于 TLS 的 HTTP) 進行加密的原因。使用內網穿透服務時，證書和私鑰由誰管理、如何管理，是安全性的關鍵考量點之一。

● 傳統（服務商管理）TLS： 常見做法是服務商為用戶生成或托管證書及私鑰。這種模式簡化了用戶操作，但也意味著服務商在技術上擁有訪問加密數據的可能性。如果服務商的安全措施存在漏洞或遭遇嚴重攻擊，理論上存在私鑰泄露的風險，可能導致企業(yè)數據被解密。這促使部分對數據主權要求極高的企業(yè)尋求更自主的解決方案。

● ZeroNews TLS 終止 + 企業(yè)自持私鑰： 該模式旨在解決上述關于密鑰控制權的顧慮。其核心原理是：

○ 私鑰 100% 企業(yè)自有： ZeroNews 不觸碰、不存儲 您的私鑰。

○ 加解密在可控邊界完成： 數據傳輸之前已進行加密，傳輸隧道僅負責“搬運”。

○ 實現條件： 需要使用企業(yè)自有域名 并自行配置和管理該域名的 TLS 證書（支持 DigiCert、GlobalSign 等主流 CA 頒發(fā)的證書）。[詳情可參閱配置指南：ZeroNews V2.1.4 震撼更新！自定義域名服務重磅上線]

TLS 終止模式詳解與操作

ZeroNews 提供兩種 TLS 終止位置選擇，適應不同架構需求：

1. 在 ZeroNews Agent 終止：

a. 原理： 由用戶自行管理證書，在 Agent 本地配置要終止 TLS 流量的域名證書， 完成對用戶訪問的TLS流量進行解密，并將解密后的流量轉發(fā)至用戶內網服務，同時將內網服務響應的流量進行加密轉發(fā)。

b. 配置要求：

i. 您需要在 ZeroNews 平臺為該自有域名上傳完整的 TLS 證書鏈（公鑰證書）和對應的私鑰證書。

ii. 注：平臺也支持自動簽發(fā)證書無需手動上傳。

2. 在上游服務終止：

a. 原理： 始終由用戶自行管理證書，ZeroNews 對證書不可見，TLS流量在用戶上游服務（如Nginx/Apache）進行加解密，ZeroNews邊緣網絡及Agent僅作為流量透傳，全程不接觸明文數據,對數據不可見，實現端到端的安全加密轉發(fā)。

b. 配置要求：

i. 無需在 ZeroNews 平臺上傳任何證書。證書完全由您在自己的服務器上配置和管理。

操作步驟簡述：

1. 添加并配置自定義域名： 在 ZeroNews 平臺添加您的自有域名，并配置其用于 HTTPS (端口 443)。（注意：此步驟僅為域名綁定，TLS 證書配置取決于后續(xù)選擇的終止模式）。

2. 創(chuàng)建 TLS 映射： 在自定義映射頁面，點擊“創(chuàng)建映射”。

3. 配置映射參數：

a. 選擇目標設備 (Agent)。

b. 協議選擇 TLS。

c. 公網訪問地址：選擇第一步配置好的域名。

d. 輸入內網目標 IP 及端口。

e. 關鍵選擇：TLS 終止位置 (選擇“在 ZeroNews Agent 終止” 或 “在上游服務終止”)。

f. 點擊“創(chuàng)建”。

重要注意事項：

● 證書處理原則：

○ 上游服務終止模式： 無需在 ZeroNews 平臺操作證書。

○ Agent 終止模式： 若選擇手動上傳證書，必須提供包含完整信任鏈的公鑰證書文件以及對應的私鑰文件。

● 端口沖突規(guī)避： 同一個自有域名（HTTPS:443）不能同時創(chuàng)建 HTTPS 協議的映射和 TLS 終止映射。

TLS 終止的價值與挑戰(zhàn)

● 核心價值： TLS 終止模式的核心優(yōu)勢在于將加密數據的最終控制權（私鑰）完全交還企業(yè)自身。ZeroNews 僅提供加密數據的傳輸通道。這為處理極度敏感數據的場景（如核心支付系統、高機密通信）提供了更高層級的數據主權保障。

● 適用場景： 該模式特別適合對數據加密密鑰控制有嚴格合規(guī)要求或極高安全需求的大中型企業(yè)和團隊。這些組織通常擁有更強的資源來應對隨之而來的管理復雜度。

● 伴隨的挑戰(zhàn)： 選擇完全自主管理密鑰也意味著企業(yè)需承擔相應責任：

○ 證書全生命周期管理： 企業(yè)需自行負責證書的申請、購買（如適用）、安裝、配置、續(xù)期、吊銷和輪換。這個過程涉及公私鑰基礎設施（PKI）的理解和維護，具有一定復雜性和運維負擔。

○ 應對協議演進： TLS 協議本身會不斷更新（如從 TLS 1.2 到 TLS 1.3）。企業(yè)需要關注這些變化，并確保自身環(huán)境（包括可能使用的負載均衡器、Web 服務器等）及時升級以支持新版本、淘汰不安全的舊版本，維持安全性和兼容性。

總結：

TLS 終止能力，本質上是將數據“保險箱”的鑰匙（私鑰）完全交由您自己保管，ZeroNews 則專注于安全地“護送”這個已上鎖的保險箱（通過加密隧道傳輸數據）。

請注意： 使用此功能必須配合企業(yè)自有域名，不支持獨立使用。它并非適用于所有內網穿透場景的通用方案，而是為具有特定高安全需求、且具備相應證書管理能力的企業(yè)提供的一種增強型安全選擇。

內網穿透解決方案應兼顧安全性與實用性。ZeroNews 提供包括 HTTPS 映射、服務商管理 TLS 以及企業(yè)自持私鑰 TLS 終止在內的多種安全層級選項，以滿足不同場景和用戶能力的需求。企業(yè)可根據自身業(yè)務敏感度、合規(guī)要求和運維資源，選擇最適合的“專業(yè)級”方案。

即刻體驗 ZeroNews，為您的關鍵業(yè)務數據流選擇恰當的安全保障！

審核編輯 黃宇