再不进行全站HTTPS，就真的赶不上末班车了？

据外国媒体VentureBeat报道，谷歌宣布自今年7月起，Chrome浏览器的地址栏将把所有HTTP标示为“不安全”网站。这已经是谷歌浏览器针对HTTP网站开战的第三步棋。据相关最新消息，Firefox也准备把所有HTTP站点标示“不安全”。与此同时，苹果自iOS9始引入新特性App Transport Security (ATS)，要求App内访问的网络必须使用HTTPS协议。

将于今年7月发布的Chrome 68会在地址栏中显示如下：

对于这一变化，谷歌解释道：

Chrome新界面将帮助用户了解所有的HTTP网站都是不安全的，从而采用安全的HTTPS网站。HTTPS比以往任何时候都更便利、更便宜，它带来了性能提升和强大的新功能，这些都是HTTP所没有的。

Chrome目前以黑色字体标示“不安全”字样，最终谷歌会把“不安全”标为红色，并在旁边添加表示警告的红图标，为的是进一步强调HTTP网站不应被信任。

而在刚刚发布更新的iOS 11.3中，苹果率先应用了这一策略，正式将某些HTTP页面标记为“不安全”（如含密码或信用卡信息传输的HTTP页面）。苹果未来计划将所有HTTP页面都标为不安全，让用户更加安全的浏览站点。

为什么科技大佬们纷纷抛弃

这个服务了近二十年的HTTP协议呢？

 

用户隐私数据价值越来越高

隐私数据保护问题突出

HTTPS解决方案终极目标

现在，大部分网站登录页面虽然已上线了HTTPS，但其他主页面依旧是HTTP。

非敏感内容真的不需要HTTPS？

其实不然。

 

非 HTTPS 网站很容易被劫持并插入广告，影响用户体验；

即使网站上没有交易支付等敏感功能，但只要有用户登录，帐号密码被第三方盗取也可以用来社工或撞库；

大流量站点，如果不部署 HTTPS 很容易被攻击者利用，劫持页面内容，实施页面恶意代码攻击；

从HTTP跳转HTTPS，可能存在用户被劫持的风险，攻击者仍然有机可乘。

 

那么，

实施全站HTTPS前需考虑哪些问题？

 

页面混合资源处理

HTTPS 网页中加载的HTTP 资源被称之为Mixed Content（混合内容），为了最好的用户体验，HTTPS网站不要出现任何Mixed Content，并且不要往HTTP页面提交表单。

如果网站本身只用一个域名进行资源加载，可使用单域名证书即可满足SSL服务（不推荐只用一个域名，建议做域名分拆）；如果网站本身已经做了域名分拆，可选用泛域名的通配型证书满足SSL服务。

在页面中加载资源时，使用相对路径，或省略协议部分的路径。

例如：

<imgsrc=“//domain.com/static/img/logo.gif”>

或 <imgsrc=“static/img/logo.gif”>

表单提交时，不使用http路径。

<form action="https://domain.com"></form>

服务端开启upgrade-insecure-requests，支持新型浏览器自动替换资源路径。

较新版本的浏览器，均支持upgrade-insecure-requests。当服务器配置该支持时，浏览器将自动替换使用HTTPS方式加载所需的资源文件。

SSL协议版本及加密套件选择

SSL/TLS协议包含 SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2 五个版本。客户端兼容性SSL2.0、SSL3.0、TLS1.0均包含安全问题，不推荐使用。

IE6默认只支持SSLv2和SSLv3，网站要支持IE6，必须启用SSLv3。

IE7、Java1.6及之前版本、Android4.3及之前版本，必须启用TLSv1。

如果客户端支持的CipherSuite列表与服务端配置的CipherSuite列表没有交集，将导致无法完成协商，SSL握手失败。加密套件安全性合理高效的SSL证书配置，需掌握服务端CipherSuite的支持情况，合理优化开放的CipherSuite。动态评估安全性与兼容性，最终确定CipherSuite的配置方案。

HTTPS漏洞检测及报告

关注SSL/TLS安全动态，定期对网站SSL部署进行安全评估。通过对WebServer的版本更新、SSL/TLS协议版本的控制、CipherSuite的优化配置，避免服务器遭受高危漏洞的安全威胁。

HTTPS漏洞检测及报告服务：

完成证书安装配置后，使用Symantec的安装配置检查工具确认网站SSL证书部署情况。

定期通过SSL Labs等，SSL证书部署专业评估机构提供的工具，对网站证书部署进行扫描评估。

证书密钥管理

严格管理证书私钥，防止未经授权的密钥访问；

定期更换证书密钥对，并吊销可能存在安全隐患的证书；

采用合理的分布式部署方案，降低密钥泄露风险；

灵活使用不同密钥算法证书，启用新型安全密钥算法。

服务器性能影响

HTTPS增加了TLS握手环节，数据传输需使用对称加密算法加密，启用全站HTTPS将影响服务器性能。对服务器性能的影响，主要体现在TLS握手环节。服务器TLS握手环节，通常性能会下降6-8倍左右。 

问题来了，

全站HTTPS性能优化有哪些解决方法？

 

服务器性能及架构优化

全站HTTPS无疑为服务器增加额外的系统资源开销，特别是TLS握手环节。

在确定的网络架构下，评估SSL证书的安装部署位置十分重要。SSL证书的部署位置，将直接决定HTTPS性能优化需要采用的方案。

承载TLS握手环节的压力，主要消耗服务器的CPU资源。不同系统环境下，通常需要通过压力测试环节，基于一手测试数据，制定合理的优化方案。

常用优化方案：

升级服务器CPU

针对服务器CPU型号，采用线程优化、算法优化等方式提升处理效率。

合理优化网络架构，配置负载策略，分散服务器压力。

域名对访问速度的影响具有两面性：域名多，域名解析和建立连接的时间就多；域名少，下载并发度又不够。

将域名限制在有限的范围，维持和这些域名的连接，可平衡访问速度和性能消耗的需求。

参考网络架构选择合适的SSL证书产品，降低服务器系统资源开销，并保障站点的可扩展性。

SSL卸载

将服务器所需要承担的SSL压力转移到其他前端设备或服务之上，即SSL卸载。

SSL卸载常用方案：

硬件SSL卸载

使用专业的负载均衡设备，并依赖设备自身的SSL卸载卡处理SSL/TLS请求。或直接为服务器安装PIC-E硬件SSL卸载卡。

SSL软负载

使用Web前端代理软件，通过高效的前端代理处理SSL/TLS请求，不改变原AppServer运行环境。

CDN服务

自建，或使用第三方CDN服务，降低服务器系统资源开销。

配置优化方案

在既定的全站HTTPS方案下，使用配置优化方式不增加方案成本的提升站点HTTPS性能，无疑是当下最能体现HTTPS服务价值的服务手段。

SSL性能优化常用方案：

注：配置优化方案涉及到前端Server对HTTPS新技术的支持情况及详细的参数设置，更多内容可参考天下数据相关技术服务文档。

【免责声明】：部分内容、图片来源于互联网，如有侵权请联系删除，QQ：228866015