首页>会议文档 >

苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路

page:
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路
苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路

苏宁易购 朱羿全:苏宁易购全站HTTPS实践之路

所属会议:SACC 2017第九届中国系统架构师大会会议地点:北京


下载

手机看
活动家APP客户端

扫二维码下载
或点击下载
Android iOS

7569次
浏览次数
SACC 2017第九届中国系统架构师大会所有文档 微软亚洲研究院 闫莺:构建企业级区块链生态 先声教育 秦龙:人工智能助力新时代K12教育 闲鱼 王树彬:闲鱼架构实践 小米 李波:小米生态云应用引擎实践 徐少杰:Event sourcing & CQRS 云徙科技 李元佳:企业互联网架构实践 长虹集团 孔帅:基于Hybrid的移动应用混合开发模式架构演变 中国信息通信研究院 徐恩庆:重点行业云计算标准体系和评估思路 中国移动 刘军卫:中移苏研存储产品化之路 优调科技 朱妤晴:技术前沿进展:系统自动化调优 转转 张相於:C2C市场中推荐系统的挑战与机遇 资深技术专家 占超群:迎接在线化与开放化分析时代 李珂:vivo大规模机器学习实践 刘歧:一个简单的直播服务引发的悲剧 毛大鹏:机器学习和未知样本检测 美团 付雅文:美团配送移动网关建设实战 美团外卖 刘宏伟:美团外卖自动化业务运维系统建设 魅族 段启智:Android多分支代码自动同步 摩拜李凯:摩拜开源技术的线上应用之路 蘑菇街 刘旭晖:大数据平台调度系统架构理论和实践 偶数科技 常雷:新一代数据仓库 去哪儿网 马文:基于Mesos Docker的Elasticsearch容器化私有云 上汽集团 李涛:站在云时代的路口 数美 关涛:实时大数据在风控中的实践 思必驰 张顺:可定制开发的语音交互技术 搜狗 张杰:前端测试质量的度量 搜狗 申贤强:分布式存储优化与离线混布弹性计算平台 搜狗语音 陈伟:搜狗智能语音之路 苏宁 黄宙:潜行狙击--业务安全大数据融合 腾讯 涂远东:VR视频直播探索与创新 腾讯音乐 李深远:QQ音乐的个性化探索 腾讯音乐 罗静:全民K歌黑产对抗之路 腾讯 谭国富:深度学习在图像审核的应用 天云大数据 李从武:人工智能驱动Fintech 同盾科技 张新波:拥抱金融科技的几个误区 王苹:荣之联大数据平台的应用实践 苏宁云商 王一硼:移动端统一接入层 网易 孙建良:网易新一代对象存储引擎 阿里巴巴 江文斐:窄带高清,打造新优酷极致体验 阿里巴巴 金吉祥:万亿级数据洪峰下的消息引擎 阿里巴巴 蔡龙军:面向未来的泛内容AI平台建设实践 阿里巴巴 何源:阿里网络故障智能化治理 阿里巴巴 默燧:移动端图像加载优化与增强 阿里人工智能实验室 王天舟:语音识别技术回顾及应用 爱奇艺 张超:爱奇艺广告大数据实践 百度外卖 梁福坤:基于Druid的大数据采集即计算实践 腾讯云 陈龙:云+时代大数据平台应用方案 滴滴 许令波:统一资源调度平台建设实践 滴滴 王海:滴滴移动端基础架构的演进与探索 滴滴研究院 李秀林:智能交互 美好出行 第四范式 程晓澄:机器学习在推荐系统中的应用 瓜子二手车 彭超:瓜子云的落地 为胜科技 郭宏泽:基于容器的持续集成平台建设 海纳云 邹均:区块链与数据时代 慧川智能 刘曦:ImageNet挑战赛之后的计算机视觉新征程_IT168文库 姜凤波:全用户态服务开发套件F-Stack 金山云 郝明非:H.265在视频直播场景下的应用演进 锦佰安 冯继强:AI领域的人机识别对抗 千亿美金的验证码 京东 高新刚:京东金融数据库多场景架构实践 京东 丁俊:京东分布式K-V存储设计与挑战 京东 桂创华:京东图片系统演进 京东搜索 尹德位:京东亿级流量海量数据搜索架构 京东云 张成远:云时代的数据库演变之路 京东云 朱凌:京东云为企业提供智能化之路 VMware 张海宁:使用Kubernetes部署超级账本Fabric 58同城 沈剑:58速运数据库降压优化实践 360 李东亮:云端图像技术的深度学习模型与应用 360 陈宗志:大容量redis存储方案--Pika AWS 薛峰:云平台计算服务进化之路 INT基金会 项若飞:INTchain在大宗商品物流应用的架构探讨 Qunar 黄勇:去哪网数据库架构发展历程

文档介绍

HTTPS 能够给用户带来更安全的网络体验、更好的隐私保护。然而,HTTPS 增加了 TLS 握手环节,再加上应用数据传输需要经过对称加密,对性能提出了更大的挑战。作为一个好的架构,一定要均衡安全和性能两方面,如果让天秤向任何一方倾斜过多,都会影响最终的用户体验。因此,为了兼顾安全与性能,苏宁的全站HTTPS改造从2015年底开始进行,历时一年多时间,主要包括了三方面工作:(1)系统HTTPS改造;(2)HTTPS性能优化;(3)HTTPS灰度上线。让用户在HTTPS访问下的极致体验成为可能。

演讲实录

在第三天的网络架构设计及优化实践(专场17),来自苏宁云商IT总部架构师朱羿全先生以《苏宁易购全站HTTPS实践之路:如何做到兼顾安全与性能》为主题进行了精彩分享,更多是应用层改进和优化。
为什么我们要使用HTTPS?
HTTPS是更安全的HTTP协议,它在TCP(负责网络数据传输)和HTTP层之间,增加了一个SSL层。这一层通过数字证书和加密算法对HTTP请求进行加密。已经采用HTTP协议的网站要过渡到HTTPS,将在技术改造、服务器资源、流量资源上付出更多成本。此外,多个组织在加速推进HTTPS的部署进程,包括了谷歌、苹果、火狐!
朱羿全表示,如今的互联网已经进入了全站HTTPS时代,网站的命运唯有全站HTTPS方能改变。苏宁易购全站HTTPS方案主要分为三个方面,系统改造、性能优化、灰度上线。
强烈建议,尽早完成SSL握手,统一接入与调度,业务系统不需要做调整,统一优化与升级,提高接入层性能与安全性,并对页面资源替换。
如何处理商用CDN上的证书和私钥?
无论是主动提供私钥给商用CDN厂商 (HTTPS不再安全),还是双证书策略 (治标不治本),都不如Keyless解决方案,这种方案适用于金融,提供一台实时计算的 Key Server 。CDN 要用到私钥时,通过加密通道将必要的参数传给 Key Server,由 Key Server 算出结果并返回即可。
HSTS的合理使用,优势是减少了HTTP做302跳转的开销。302跳转不仅暴露了用户的访问站点,也很容易被中间者支持(降级劫持、中间人攻击),最重要是降低了访问速度(影响性能)。
缺点是1. HSTS在max-age过期时间内在客户端是强制HTTPS的,服务端无法控制。因此,需要降级时,HTTPS无法及时切换到HTTP。 2. HSTS是严格的HTTPS,一旦网络证书错误时,网页将直接无法访问(用户无法选择忽视)。
Session resume的合理使用,Session tickets(RFC 5077)此功能需要开启前向性加密支持的密钥套件例如ECDHE-RAS-AES128-SHA256来提高安全性。为了保持安全性seesion_ticket.key需要经常保持更换。
接着分享了False Start的合理使用、Ocsp stapling的合理使用、加密套件的合理使用、SPDY&HTTP/2的合理使用、Nginx 启用 HTTP/2 存在的问题、SSL硬件加速卡合理使用、客户端HTTPS的性能优化…..最后强调DNS防劫持:HttpDNS绕过公共DNS让网站访问永远正确。
未来的互联网、移动互联网越来越是一个服务交易的闭环链,意味着用户对技术的依赖度日益提升,需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。
如今的互联网已经进入了全站HTTPS时代,用户需要一个更安全的网络承载环境,同时,HTTPS也能避免自己官网被劫持出现竞争对手广告的尴尬!

×

打开微信扫一扫,分享到朋友圈