黑基Web安全攻防班
黑基网 首页 IT技术 安全攻防 查看内容

全站 HTTPS——如何规划、部署、优化?

2017-3-5 22:05| 投稿: xiaotiger |来自: 互联网

摘要: 2015 年阿里天猫、淘宝支持全站 HTTPS,并经历了两次双十一的洗礼,稳定的支撑了天量的交易。在此之前,百度的搜索也启用了 HTTPS。HTTPS 最直接的优势就是避免页面劫持。当然,随着各大主流浏览器对 HTTP/2 的支持 ...

2015 年阿里天猫、淘宝支持全站 HTTPS,并经历了两次双十一的洗礼,稳定的支撑了天量的交易。在此之前,百度的搜索也启用了 HTTPS。HTTPS 最直接的优势就是避免页面劫持。当然,随着各大主流浏览器对 HTTP/2 的支持,以及未来会将 HTTP 网站标记为不安全的等诸多因素,网站 HTTPS 是一个必然的趋势。小编就全站HTTPS的规划、部署和优化的有关问题在网上做了相关调查,现将优秀评论整理如下,供大家参考讨论。

图片来源于网络

讨论话题:

1. 网站改造 HTTPS 过程中跳过的坑或者要注意的问题

2. 影响甚至导致无法全站 HTTPS 的痛点或者障碍

3. 证书申请以及私钥管理上的一些注意事项

4. 部署 HTTPS 后,优化手段、遇到的问题以及解决方法

5. 负载均衡下或者 CDN 中部署 HTTPS 的一些经验

精彩回复:

【GB_juno】

1.网站改造 HTTPS 过程中跳过的坑或者要注意的问题

ssl卸载消耗比较大的cpu,对于常用的nginx反向代理来说,启用了https后每秒请求处理能力会降低了很多(本人测试过大概10分之1,不保证正确度)。因此如果原来能够支撑住网站的服务就进行操作比较大的扩容了。另外就是安全以及协议、加密算法的选择。安全上来说要尽量用比较新的openssl library,协议来说一般用tls了,原来的sslv1/2/3基本都不太安全了...最后加密算法主要在于看浏览器支持,基于安全的需要选择适当的算法。

2.影响甚至导致无法全站 HTTPS 的痛点或者障碍

全站https就要求了引用的资源也必须https。万一这些资源没有https怎么办,只能见一个搞一个。

3. 证书申请以及私钥管理上的一些注意事项

私钥要保管好,只对涉及的运维人员放开。不要通过qq、邮箱这种方式传,万一泄漏了就完了。即使传也要加密,加密密码通过电话或者其他方式传。

4. 部署 HTTPS 后,优化手段、遇到的问题以及解决方法

最近碰到的麻烦是chrome 53版本对赛门铁克证书必须要求ct的事情..无能为力,黑天鹅

5. 负载均衡下或者 CDN 中部署 HTTPS 的一些经验

做好了网站的动静分离后,静态元素放在单独的域名下。对于cdn这种资源,因为在前端也要部署https证书,应该申请独立的域名,即使泄漏了也无关紧要,毕竟只是静态资源。

【forgaoqiang】

1.网站改造 HTTPS 过程中跳过的坑或者要注意的问题

以前改造的时候直接去网上复制了一段HTTPS的nginx配置文件,发现部分浏览器正常,对于新的火狐或者谷歌浏览器,居然访问报错

出问题的配置部分,怎么看都是语法正确的

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

复制代码

火狐会给出下面的提示

SSL decrypt error during SSL handshake

chrome直接不给提示,站点不可访问

原因居然是加密选择过弱,需要下面的配置才能正常工作,因此正确的选择 加密套件 非常重要

ssl_protocols SSLv3 TLSv1;

复制代码

站点更换成HTTPS之后发现性能下降,uptime查看负载的确高不少,最后升级了带宽

2.影响甚至导致无法全站 HTTPS 的痛点或者障碍

HTTPS是无法被缓存的,这个是痛点,对于无关紧要的静态资源来说静态化必要性不大,而且开销过大,很划不来。HTTPS引用的资源要求是https否则现代浏览器都会警告报错

3.证书申请以及私钥管理上的一些注意事项

证书需要放置到服务器上,私钥当然要尽量做到保密,管理员小心的备份私钥。申请证书当时用的沃通的服务,现在沃通的部分证书暂时不被苹果、谷歌、火狐他们接受,这也是个问题。因此还是要考虑选择靠谱点的证书服务商。

保存的话压缩加密备份,发送到邮箱备份还是很靠谱的,不容易出现丢失现象。

4.部署 HTTPS 后,优化手段、遇到的问题以及解决方法

使用的证书是等级较低的,证书链不完整的话,会被当非法站点 。。。 重新签的证书

5.负载均衡下或者 CDN 中部署 HTTPS 的一些经验

负载均衡或者CDN采用HTTPS部署使用单独的证书和独立域名,避免同域下的浏览器加载并发限制等问题。

另外网上对证书视乎没有好的总结,我个人总结一下证书类型:

IV(Identity Validation)

个人验证型(IdentityValidation SSL),适用于个人专业网站使用,显示个人姓名;

DV(Domain Validation) 证书

只认证网站域名是不是申请人所有,不验证单位,级别是Class 1 级别的。

OV(Organization Validation)证书

需要提供注册局(工商局)注册文档、组织机构代码证、法人**明等等资料,然后CA会去工商局网站核对,然后还会验证电话等等步骤;

适用于电子商务、电子政务、企事业管理单位。

EV(Extended Validation)证书

不仅需要进行上述的验证环节,还需要公司资料能够在第三方数据库中查询得到,包括:公司的电话需要在黄页上查询到,公司资料能够在D&B(邓白氏)等处查询到并且与注册信息一致.适用于银行金融类电子商务网站

相对来说IV和DV可以是免费的,但是OV和EV一般是越来越贵~

【devil3380】

沃通 呵呵. 现在chrome和firefox都对其采取不信任的措施,还不是自己找的

收购了StartCom,还把StartCom给搞臭了

看https://wiki.mozilla.org/CA:WoSign_Issues里面介绍的这样,还有谁会去用

问题1

沃通 CA 允许证书申请者选择任意端口进行验证,违反了限制端口和路径使用的规定;

问题2

证书申请者如果能证明控制了某个子域名,那么就能获得根域名的证书;

已经研究人员利用沃通的这个失误,获得了一张沃通签发的【GitHub 网站主域名的证书】。

问题3

被沃通并购的 StartCom(也是一家 CA),被发现允许对证书的签署日期进行【倒填】。关于这个“倒填日期”的问题,俺稍微解释一下:

由于如今的运算能力越来越强,SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器,如果发现2016元旦之后签署的 CA 证书,依然采用 SHA1,会给出警告。

沃通的问题在于,它为了帮证书申请人规避浏览器警告,故意把签署日期伪造成2015年底。

问题4

除了英国程序员曝光的那3个问题,再来说一下其他人曝光的问题——

沃通在2015年4月9日到4月14日之间,签发了392个【相同序列号】的证书。

最近在折腾 Let's Encrypt了


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/a6393836713311666433/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。

1

鲜花

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

  • 鲜花

    匿名

相关阅读

最新评论

最新

返回顶部