苏宁易购全站HTTPS实践之路
2017年10月20日,一年一度的中国系统架构师大会(SACC)再度盛装来袭。作为国内最负盛名的架构师盛会,SACC 2017云集了百余位国内外的顶级专家,围绕云计算、人工智可以、大数据、移动互联网、产业应使用等热点领域进行思维碰撞和技术交流。
▲苏宁云商IT总部架构师朱羿全
在第三天的网络架构设计及优化实践(专场17),来自苏宁云商IT总部架构师朱羿全先生以《苏宁易购全站HTTPS实践之路:如何做到兼顾安全与性可以》为主题进行了精彩分享,更多是应使用层改进和优化。
为什么我们要用HTTPS?
HTTPS是更安全的HTTP协议,它在TCP(负责网络数据传输)和HTTP层之间,添加了一个SSL层。这一层通过数字证书和加密算法对HTTP请求进行加密。已经采使用HTTP协议的网站要过渡到HTTPS,将在技术改造、服务器资源、流量资源上付出更多成本。此外,多个组织在加速推进HTTPS的部署进程,包括了谷歌、苹果、火狐!
朱羿全表示,如今的互联网已经进入了全站HTTPS时代,网站的命运唯有全站HTTPS方可以改变。苏宁易购全站HTTPS方案主要分为三个方面,系统改造、性可以优化、灰度上线。
强烈建议,尽早完成SSL握手,统一接入与调度,业务系统不需要做调整,统一优化与更新,提高接入层性可以与安全性,并对页面资源替换。
如何解决商使用CDN上的证书和私钥?
无论是主动提供私钥给商使用CDN厂商 (HTTPS不再安全),还是双证书策略 (治标不治本),都不如Keyless处理方案,这种方案适使用于金融,提供一台实时计算的 Key Server 。CDN 要使用到私钥时,通过加密通道将必要的参数传给 Key Server,由 Key Server 算出结果并返回就可。
HSTS的正当用,优势是减少了HTTP做302跳转的开销。302跳转不仅暴露了使用户的访问站点,也很容易被中间者支持(降级劫持、中间人攻击),最重要是降低了访问速度(影响性可以)。
缺点是1. HSTS在max-age过期时间内在用户端是强制HTTPS的,服务端无法控制。因而,需要降级时,HTTPS无法及时切换到HTTP。 2. HSTS是严格的HTTPS,一旦网络证书错误时,网页将直接无法访问(使用户无法选择忽视)。
Session resume的正当用,Session tickets(RFC 5077)此功可以需要开启前向性加密支持的密钥套件例如ECDHE-RAS-AES128-SHA256来提高安全性。为了保持安全性seesion_ticket.key需要经常保持更换。
接着分享了False Start的正当用、Ocsp stapling的正当用、加密套件的正当用、SPDY&HTTP/2的正当用、Nginx 启使用 HTTP/2 存在的问题、SSL硬件加速卡正当用、用户端HTTPS的性可以优化…..最后强调DNS防劫持:HttpDNS绕过公共DNS让网站访问永远正确。
未来的互联网、移动互联网越来越是一个服务交易的闭环链,意味着使用户对技术的依赖度日益提升,需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。
如今的互联网已经进入了全站HTTPS时代,使用户需要一个更安全的网络承载环境,同时,HTTPS也可以避免自己官网被劫持出现竞争对手广告的尴尬!
▲更多信息尽在IT168现场报道专题http://sacc.it168.com/topic2017/
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 苏宁易购全站HTTPS实践之路