在數據合規(guī)要求日益嚴格的背景下，企業(yè)內網穿透服務的安全模型正經歷根本性變革。ZeroNews 近期推出的重磅功能 -TLS終止（TLS Termination） 能力，無需復雜配置開發(fā)，僅通過簡單頁面配置操作即可實現端到端加密，為企業(yè)提供從“被動加密”到“主動掌控”的安全升級路徑。

一、什么是TLS?

TLS是SSL（Secure Sockets Layer）協議的繼任者，由 Netscape 于1994年首次推出（基于SSL），后由 IETF 標準化為TLS協議。其主要目標是為客戶端（如瀏覽器）與服務器之間的通信建立加密通道 ，防止數據在傳輸過程中被竊聽、篡改或偽造。

TLS通過結合 非對稱加密 和 對稱加密 技術實現安全通信：

非對稱加密（握手階段）

客戶端與服務器協商加密算法（如RSA、Diffie-Hellman），驗證服務器數字證書（基于X.509標準），并交換密鑰材料。

服務器證書由受信任的 證書頒發(fā)機構（CA）簽發(fā)，確保服務器身份真實性。

對稱加密（數據傳輸階段）

雙方生成共享的會話密鑰（Session Key） ，用于加密實際傳輸的應用數據（如HTTP請求），效率更高。

二、ZeroNews TLS終止簡介

默認情況下，ZeroNews 根據您創(chuàng)建的映射類型以不同的方式處理 TLS 連接。

對于HTTPS 映射，ZeroNews 會在 ZeroNews 云端邊緣上為您終止 TLS 連接，因此您無需自行配置證書處理。我們會通過獨立的自研加密隧道將流量轉發(fā)到您的代理，以便您的數據在傳輸過程中始終受到保護。

對于TLS 協議建立的 TLS 映射服務，ZeroNews 默認不會終止TLS。您必須選擇 TLS 終止的位置：

ZeroNews提供兩種不同位置的TLS終止：1、在內網ZeroNews Agent處終止；2、在上游服務處終止

如果您選擇在上游服務（即內網服務）終止，ZeroNews 網絡和代理都無法看到您的流量。但這也意味著您必須在上游服務處理 TLS 終止，且您的本地服務必須配置有效的 TLS 證書 （如 Let's Encrypt 或企業(yè) CA 簽發(fā)），且證書需被公網客戶端信任。ZeroNews 不參與證書驗證過程，僅確保加密數據完整傳輸 。

如果您選擇在 ZeroNews Agent 服務上終止 TLS 連接，我們采用的是最新、最安全的版本TLS 1.3 版本，1.3 版本初始握手只需一次往返，而 TLS 1.2 則需要兩次往返，這不僅能節(jié)省您請求的寶貴毫秒數，還能讓 Agent 無需任何握手即可恢復先前的連接。

另外，ZeroNews 也會提供處理所有證書的配置和更新，從而簡化您的操作，讓您有時間思考想要在基礎架構中解決的更大項目。

關鍵安全提醒：在 ZeroNews 云端邊緣終止或 ZeroNews 本地 Agent 終止模式下，TLS解密后的明文數據會立即通過ZeroNews自研的高性能加密隧道協議進行二次加密傳輸。該協議采用動態(tài)密鑰交換（如ECDHE）和強加密算法（如AES-256-GCM），確保數據在ZeroNews服務器與用戶本地服務之間的傳輸全程加密，防止中間節(jié)點竊聽或篡改。

這與上游服務終止模式形成最本質的安全區(qū)別：在上游服務終止模式下，ZeroNews 僅作為加密數據的傳輸通道，全程無法接觸到明文數據。因此，在選擇 TLS 終止模式時，請務必根據數據敏感度仔細權衡便利性與安全性的需求。

使用HTTPS映射-云端邊緣終止

如果您無法在上游服務終止您的TLS，且不需要在 ZeroNews Agent 終止 TLS，您可以通過 ZeroNews 在我們的云端邊緣上為您終止 TLS，如上所述，后續(xù)的數據我們通過自研加密隧道將流量轉發(fā)到您的代理。

這時候，您只需要創(chuàng)建一條HTTPS映射，那么您的映射將在 ZeroNews 云端邊緣上打開 TLS 終止，從而節(jié)省大量的網絡和證書相關工作。

使用TLS映射-ZeroNews Agent 終止

當您需將本地 HTTP 服務臨時暴露至公網（如 Webhook 測試、API 調試），但不想為本地服務配置 TLS 證書。您可以選擇 ZeroNews Agent 終止模式， ZeroNews本地Agent負責終止來自公網的TLS連接（提供HTTPS服務），并將解密后的HTTP流量轉發(fā)給您的本地明文服務。

如果您還沒有 TLS 證書，我們也提供文檔【自動生成TLS證書】指導您創(chuàng)建自簽名證書。

使用TLS映射-上游服務終止

當企業(yè)需實現端到端加密（E2E）且100% 自主掌控私鑰時（如金融、醫(yī)療等需端到端加密，且滿足 GDPR、HIPAA 等法規(guī)要求，確保敏感數據（如支付信息、病歷）全程加密，避免中間節(jié)點（ZeroNews 服務器）接觸明文的應用場景）可以選擇上游服務終止模式。

該模式下，ZeroNews 不終止TLS ，僅轉發(fā)加密流量，TLS握手完全在客戶端與您的本地服務之間進行。因此， 證書有效性、協議版本、加密強度完全由您的本地服務決定和控制 。

三步搭建TLS映射

為簡化傳統TLS終止的復雜配置流程，ZeroNews推出 可視化云端控制臺 ，徹底替代繁瑣的API 證書上傳操作。只需三步即可完成部署：

● 訂閱服務：啟用企業(yè)或團隊訂閱服務，或獨立開通“自有域名+TLS終止”功能；

● 域名配置：提交自有域名并通過自動審核；

● 映射創(chuàng)建：下載并啟用Agent，在控制臺創(chuàng)建TLS映射并選擇終止位置（邊緣/Agent/上游）。

全場景支持：無論是入口網關統一管控、微服務間TLS通信、開發(fā)環(huán)境臨時暴露，還是企業(yè)級端到端加密（如金融數據庫遠程訪問），ZeroNews均提供開箱即用的安全解決方案。

審核編輯 黃宇