APIG专享版实例域名均关联SSL证书

规则详情

应用场景

如果API支持HTTPS请求协议，则在绑定独立域名后，还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书，支持单向认证和双向认证两种认证方式。

• 单向认证：客户端与服务端连接时，客户端需要校验服务端SSL证书合法性。
• 双向认证：客户端与服务端连接时，除了客户端需要校验服务端SSL证书合法性，服务端也需要校验客户端SSL证书合法性。

如果API分组中的API仅支持HTTP请求协议，则会带来以下风险：

• 数据泄露：HTTP传输的数据是明文的，容易被拦截，导致敏感信息（如密码、个人信息）泄露；
• 中间人攻击：攻击者可以篡改或伪造数据，用户可能接收到恶意内容或被重定向到钓鱼网站；
• 数据篡改：传输中的数据可能被恶意修改，影响数据完整性。

修复项指导

请确保API都支持HTTPS协议，并根据指导添加API的SSL证书。

检测逻辑

• APIG专享版实例如果有域名不支持HTTPS请求协议，视为“不合规”。
• APIG专享版实例的所有域名都支持HTTPS请求协议，但某个域名未添加SSL证书，视为“不合规”。
• APIG专享版实例的所有域名都支持HTTPS请求协议，且所有域名添加了SSL证书，视为“合规”。