再不进行全站HTTPS,就真的赶不上末班车了?
2018-04-18 11:01 浏览: 次据外国媒体VentureBeat报道,谷歌宣布自今年7月起,Chrome浏览器的地址栏将把所有HTTP标示为“不安全”网站。这已经是谷歌浏览器针对HTTP网站开战的第三步棋。据相关最新消息,Firefox也准备把所有HTTP站点标示“不安全”。与此同时,苹果自iOS9始引入新特性App Transport Security (ATS),要求App内访问的网络必须使用HTTPS协议。
将于今年7月发布的Chrome 68会在地址栏中显示如下:
对于这一变化,谷歌解释道:
Chrome新界面将帮助用户了解所有的HTTP网站都是不安全的,从而采用安全的HTTPS网站。HTTPS比以往任何时候都更便利、更便宜,它带来了性能提升和强大的新功能,这些都是HTTP所没有的。
Chrome目前以黑色字体标示“不安全”字样,最终谷歌会把“不安全”标为红色,并在旁边添加表示警告的红图标,为的是进一步强调HTTP网站不应被信任。
而在刚刚发布更新的iOS 11.3中,苹果率先应用了这一策略,正式将某些HTTP页面标记为“不安全”(如含密码或信用卡信息传输的HTTP页面)。苹果未来计划将所有HTTP页面都标为不安全,让用户更加安全的浏览站点。
为什么科技大佬们纷纷抛弃
这个服务了近二十年的HTTP协议呢?
用户隐私数据价值越来越高
隐私数据保护问题突出
HTTPS解决方案终极目标
现在,大部分网站登录页面虽然已上线了HTTPS,但其他主页面依旧是HTTP。
非敏感内容真的不需要HTTPS?
其实不然。
非 HTTPS 网站很容易被劫持并插入广告,影响用户体验;
即使网站上没有交易支付等敏感功能,但只要有用户登录,帐号密码被第三方盗取也可以用来社工或撞库;
大流量站点,如果不部署 HTTPS 很容易被攻击者利用,劫持页面内容,实施页面恶意代码攻击;
从HTTP跳转HTTPS,可能存在用户被劫持的风险,攻击者仍然有机可乘。
那么,
实施全站HTTPS前需考虑哪些问题?
页面混合资源处理
HTTPS 网页中加载的HTTP 资源被称之为Mixed Content(混合内容),为了最好的用户体验,HTTPS网站不要出现任何Mixed Content,并且不要往HTTP页面提交表单。
如果网站本身只用一个域名进行资源加载,可使用单域名证书即可满足SSL服务(不推荐只用一个域名,建议做域名分拆);如果网站本身已经做了域名分拆,可选用泛域名的通配型证书满足SSL服务。
在页面中加载资源时,使用相对路径,或省略协议部分的路径。
例如:
<imgsrc=“//domain.com/static/img/logo.gif”>
或 <imgsrc=“static/img/logo.gif”>
表单提交时,不使用http路径。
<form action="https://domain.com"></form>
服务端开启upgrade-insecure-requests,支持新型浏览器自动替换资源路径。
较新版本的浏览器,均支持upgrade-insecure-requests。当服务器配置该支持时,浏览器将自动替换使用HTTPS方式加载所需的资源文件。
SSL协议版本及加密套件选择
SSL/TLS协议包含 SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2 五个版本。客户端兼容性SSL2.0、SSL3.0、TLS1.0均包含安全问题,不推荐使用。
IE6默认只支持SSLv2和SSLv3,网站要支持IE6,必须启用SSLv3。
IE7、Java1.6及之前版本、Android4.3及之前版本,必须启用TLSv1。
如果客户端支持的CipherSuite列表与服务端配置的CipherSuite列表没有交集,将导致无法完成协商,SSL握手失败。加密套件安全性合理高效的SSL证书配置,需掌握服务端CipherSuite的支持情况,合理优化开放的CipherSuite。动态评估安全性与兼容性,最终确定CipherSuite的配置方案。
HTTPS漏洞检测及报告
关注SSL/TLS安全动态,定期对网站SSL部署进行安全评估。通过对WebServer的版本更新、SSL/TLS协议版本的控制、CipherSuite的优化配置,避免服务器遭受高危漏洞的安全威胁。
HTTPS漏洞检测及报告服务:
完成证书安装配置后,使用Symantec的安装配置检查工具确认网站SSL证书部署情况。
定期通过SSL Labs等,SSL证书部署专业评估机构提供的工具,对网站证书部署进行扫描评估。
证书密钥管理
严格管理证书私钥,防止未经授权的密钥访问;
定期更换证书密钥对,并吊销可能存在安全隐患的证书;
采用合理的分布式部署方案,降低密钥泄露风险;
灵活使用不同密钥算法证书,启用新型安全密钥算法。
服务器性能影响
HTTPS增加了TLS握手环节,数据传输需使用对称加密算法加密,启用全站HTTPS将影响服务器性能。对服务器性能的影响,主要体现在TLS握手环节。服务器TLS握手环节,通常性能会下降6-8倍左右。
问题来了,
全站HTTPS性能优化有哪些解决方法?
服务器性能及架构优化
全站HTTPS无疑为服务器增加额外的系统资源开销,特别是TLS握手环节。
在确定的网络架构下,评估SSL证书的安装部署位置十分重要。SSL证书的部署位置,将直接决定HTTPS性能优化需要采用的方案。
承载TLS握手环节的压力,主要消耗服务器的CPU资源。不同系统环境下,通常需要通过压力测试环节,基于一手测试数据,制定合理的优化方案。
常用优化方案:
升级服务器CPU
针对服务器CPU型号,采用线程优化、算法优化等方式提升处理效率。
合理优化网络架构,配置负载策略,分散服务器压力。
域名对访问速度的影响具有两面性:域名多,域名解析和建立连接的时间就多;域名少,下载并发度又不够。
将域名限制在有限的范围,维持和这些域名的连接,可平衡访问速度和性能消耗的需求。
参考网络架构选择合适的SSL证书产品,降低服务器系统资源开销,并保障站点的可扩展性。
SSL卸载
将服务器所需要承担的SSL压力转移到其他前端设备或服务之上,即SSL卸载。
SSL卸载常用方案:
硬件SSL卸载
使用专业的负载均衡设备,并依赖设备自身的SSL卸载卡处理SSL/TLS请求。或直接为服务器安装PIC-E硬件SSL卸载卡。
SSL软负载
使用Web前端代理软件,通过高效的前端代理处理SSL/TLS请求,不改变原AppServer运行环境。
CDN服务
自建,或使用第三方CDN服务,降低服务器系统资源开销。
配置优化方案
在既定的全站HTTPS方案下,使用配置优化方式不增加方案成本的提升站点HTTPS性能,无疑是当下最能体现HTTPS服务价值的服务手段。
SSL性能优化常用方案:
注:配置优化方案涉及到前端Server对HTTPS新技术的支持情况及详细的参数设置,更多内容可参考天下数据相关技术服务文档。
【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015