.png)
|
商务会议 | 会议PPT | 培训课程 | 发布活动 | 订单查询 | 登录 |
会议PPT
HTTPS 能够给用户带来更安全的网络体验、更好的隐私保护。然而,HTTPS 增加了 TLS 握手环节,再加上应用数据传输需要经过对称加密,对性能提出了更大的挑战。作为一个好的架构,一定要均衡安全和性能两方面,如果让天秤向任何一方倾斜过多,都会影响最终的用户体验。因此,为了兼顾安全与性能,苏宁的全站HTTPS改造从2015年底开始进行,历时一年多时间,主要包括了三方面工作:(1)系统HTTPS改造;(2)HTTPS性能优化;(3)HTTPS灰度上线。让用户在HTTPS访问下的极致体验成为可能。
在第三天的网络架构设计及优化实践(专场17),来自苏宁云商IT总部架构师朱羿全先生以《苏宁易购全站HTTPS实践之路:如何做到兼顾安全与性能》为主题进行了精彩分享,更多是应用层改进和优化。
为什么我们要使用HTTPS?
HTTPS是更安全的HTTP协议,它在TCP(负责网络数据传输)和HTTP层之间,增加了一个SSL层。这一层通过数字证书和加密算法对HTTP请求进行加密。已经采用HTTP协议的网站要过渡到HTTPS,将在技术改造、服务器资源、流量资源上付出更多成本。此外,多个组织在加速推进HTTPS的部署进程,包括了谷歌、苹果、火狐!
朱羿全表示,如今的互联网已经进入了全站HTTPS时代,网站的命运唯有全站HTTPS方能改变。苏宁易购全站HTTPS方案主要分为三个方面,系统改造、性能优化、灰度上线。
强烈建议,尽早完成SSL握手,统一接入与调度,业务系统不需要做调整,统一优化与升级,提高接入层性能与安全性,并对页面资源替换。
如何处理商用CDN上的证书和私钥?
无论是主动提供私钥给商用CDN厂商 (HTTPS不再安全),还是双证书策略 (治标不治本),都不如Keyless解决方案,这种方案适用于金融,提供一台实时计算的 Key Server 。CDN 要用到私钥时,通过加密通道将必要的参数传给 Key Server,由 Key Server 算出结果并返回即可。
HSTS的合理使用,优势是减少了HTTP做302跳转的开销。302跳转不仅暴露了用户的访问站点,也很容易被中间者支持(降级劫持、中间人攻击),最重要是降低了访问速度(影响性能)。
缺点是1. HSTS在max-age过期时间内在客户端是强制HTTPS的,服务端无法控制。因此,需要降级时,HTTPS无法及时切换到HTTP。 2. HSTS是严格的HTTPS,一旦网络证书错误时,网页将直接无法访问(用户无法选择忽视)。
Session resume的合理使用,Session tickets(RFC 5077)此功能需要开启前向性加密支持的密钥套件例如ECDHE-RAS-AES128-SHA256来提高安全性。为了保持安全性seesion_ticket.key需要经常保持更换。
接着分享了False Start的合理使用、Ocsp stapling的合理使用、加密套件的合理使用、SPDY&HTTP/2的合理使用、Nginx 启用 HTTP/2 存在的问题、SSL硬件加速卡合理使用、客户端HTTPS的性能优化…..最后强调DNS防劫持:HttpDNS绕过公共DNS让网站访问永远正确。
未来的互联网、移动互联网越来越是一个服务交易的闭环链,意味着用户对技术的依赖度日益提升,需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。
如今的互联网已经进入了全站HTTPS时代,用户需要一个更安全的网络承载环境,同时,HTTPS也能避免自己官网被劫持出现竞争对手广告的尴尬!
浏览8907次
浏览5017次
浏览8252次
浏览6897次
浏览3144次
浏览9241次
2024-08-23 上海
2024-07-20 上海
2024-06-28 上海
2024-06-28 北京
打开微信扫一扫,分享到朋友圈
