行业资讯

再不进行全站HTTPS,就真的赶不上末班车了?

2018-04-18 11:01  浏览:

据外国媒体VentureBeat报道,谷歌宣布自今年7月起,Chrome浏览器的地址栏将把所有HTTP标示为“不安全”网站。这已经是谷歌浏览器针对HTTP网站开战的第三步棋。据相关最新消息,Firefox也准备把所有HTTP站点标示“不安全”。与此同时,苹果自iOS9始引入新特性App Transport Security (ATS),要求App内访问的网络必须使用HTTPS协议。

将于今年7月发布的Chrome 68会在地址栏中显示如下:

全站HTTPS改造

对于这一变化,谷歌解释道:

Chrome新界面将帮助用户了解所有的HTTP网站都是不安全的,从而采用安全的HTTPS网站。HTTPS比以往任何时候都更便利、更便宜,它带来了性能提升和强大的新功能,这些都是HTTP所没有的。

Chrome目前以黑色字体标示“不安全”字样,最终谷歌会把“不安全”标为红色,并在旁边添加表示警告的红图标,为的是进一步强调HTTP网站不应被信任。

全站HTTPS改造

而在刚刚发布更新的iOS 11.3中,苹果率先应用了这一策略,正式将某些HTTP页面标记为“不安全”(如含密码或信用卡信息传输的HTTP页面)。苹果未来计划将所有HTTP页面都标为不安全,让用户更加安全的浏览站点。

全站HTTPS改造

为什么科技大佬们纷纷抛弃

这个服务了近二十年的HTTP协议呢?

 

用户隐私数据价值越来越高

全站HTTPS改造

隐私数据保护问题突出

全站HTTPS改造

HTTPS解决方案终极目标

全站HTTPS改造

现在,大部分网站登录页面虽然已上线了HTTPS,但其他主页面依旧是HTTP。

非敏感内容真的不需要HTTPS?

其实不然。

 

非 HTTPS 网站很容易被劫持并插入广告,影响用户体验;

即使网站上没有交易支付等敏感功能,但只要有用户登录,帐号密码被第三方盗取也可以用来社工或撞库;

大流量站点,如果不部署 HTTPS 很容易被攻击者利用,劫持页面内容,实施页面恶意代码攻击;

从HTTP跳转HTTPS,可能存在用户被劫持的风险,攻击者仍然有机可乘。

 

那么,

实施全站HTTPS前需考虑哪些问题?

 

页面混合资源处理

HTTPS 网页中加载的HTTP 资源被称之为Mixed Content(混合内容),为了最好的用户体验,HTTPS网站不要出现任何Mixed Content,并且不要往HTTP页面提交表单。

如果网站本身只用一个域名进行资源加载,可使用单域名证书即可满足SSL服务(不推荐只用一个域名,建议做域名分拆);如果网站本身已经做了域名分拆,可选用泛域名的通配型证书满足SSL服务。

在页面中加载资源时,使用相对路径,或省略协议部分的路径。

例如:

<imgsrc=“//domain.com/static/img/logo.gif”>

或 <imgsrc=“static/img/logo.gif”>

表单提交时,不使用http路径。

<form action="https://domain.com"></form>

服务端开启upgrade-insecure-requests,支持新型浏览器自动替换资源路径。

较新版本的浏览器,均支持upgrade-insecure-requests。当服务器配置该支持时,浏览器将自动替换使用HTTPS方式加载所需的资源文件。

SSL协议版本及加密套件选择

SSL/TLS协议包含 SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2 五个版本。客户端兼容性SSL2.0、SSL3.0、TLS1.0均包含安全问题,不推荐使用。

IE6默认只支持SSLv2和SSLv3,网站要支持IE6,必须启用SSLv3。

IE7、Java1.6及之前版本、Android4.3及之前版本,必须启用TLSv1。

如果客户端支持的CipherSuite列表与服务端配置的CipherSuite列表没有交集,将导致无法完成协商,SSL握手失败。加密套件安全性合理高效的SSL证书配置,需掌握服务端CipherSuite的支持情况,合理优化开放的CipherSuite。动态评估安全性与兼容性,最终确定CipherSuite的配置方案。

全站HTTPS改造

HTTPS漏洞检测及报告

关注SSL/TLS安全动态,定期对网站SSL部署进行安全评估。通过对WebServer的版本更新、SSL/TLS协议版本的控制、CipherSuite的优化配置,避免服务器遭受高危漏洞的安全威胁。

HTTPS漏洞检测及报告服务:

完成证书安装配置后,使用Symantec的安装配置检查工具确认网站SSL证书部署情况。

定期通过SSL Labs等,SSL证书部署专业评估机构提供的工具,对网站证书部署进行扫描评估。

证书密钥管理

严格管理证书私钥,防止未经授权的密钥访问;

定期更换证书密钥对,并吊销可能存在安全隐患的证书;

采用合理的分布式部署方案,降低密钥泄露风险;

灵活使用不同密钥算法证书,启用新型安全密钥算法。

服务器性能影响

HTTPS增加了TLS握手环节,数据传输需使用对称加密算法加密,启用全站HTTPS将影响服务器性能。对服务器性能的影响,主要体现在TLS握手环节。服务器TLS握手环节,通常性能会下降6-8倍左右。 

全站HTTPS改造

问题来了,

全站HTTPS性能优化有哪些解决方法?

 

服务器性能及架构优化

全站HTTPS无疑为服务器增加额外的系统资源开销,特别是TLS握手环节。

在确定的网络架构下,评估SSL证书的安装部署位置十分重要。SSL证书的部署位置,将直接决定HTTPS性能优化需要采用的方案。

承载TLS握手环节的压力,主要消耗服务器的CPU资源。不同系统环境下,通常需要通过压力测试环节,基于一手测试数据,制定合理的优化方案。

常用优化方案:

升级服务器CPU

针对服务器CPU型号,采用线程优化、算法优化等方式提升处理效率。

合理优化网络架构,配置负载策略,分散服务器压力。

域名对访问速度的影响具有两面性:域名多,域名解析和建立连接的时间就多;域名少,下载并发度又不够。

将域名限制在有限的范围,维持和这些域名的连接,可平衡访问速度和性能消耗的需求。

参考网络架构选择合适的SSL证书产品,降低服务器系统资源开销,并保障站点的可扩展性。

SSL卸载

将服务器所需要承担的SSL压力转移到其他前端设备或服务之上,即SSL卸载。

SSL卸载常用方案:

硬件SSL卸载

使用专业的负载均衡设备,并依赖设备自身的SSL卸载卡处理SSL/TLS请求。或直接为服务器安装PIC-E硬件SSL卸载卡。

SSL软负载

使用Web前端代理软件,通过高效的前端代理处理SSL/TLS请求,不改变原AppServer运行环境。

CDN服务

自建,或使用第三方CDN服务,降低服务器系统资源开销。

配置优化方案

在既定的全站HTTPS方案下,使用配置优化方式不增加方案成本的提升站点HTTPS性能,无疑是当下最能体现HTTPS服务价值的服务手段。

SSL性能优化常用方案:

全站HTTPS改造

注:配置优化方案涉及到前端Server对HTTPS新技术的支持情况及详细的参数设置,更多内容可参考天下数据相关技术服务文档。

【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015

下一篇:用信鸽传送来解释 HTTPS 协议,让 HTTPS 不再难懂! 上一篇:如何选择CDN?你需要关注这三个方面
24H服务热线:4006388808 立即拨打