苏宁易购全站HTTPS实践之路

作者 : 开心源码 本文共1396个字,预计阅读时间需要4分钟 发布时间: 2022-05-11 共94人阅读

2017年10月20日,一年一度的中国系统架构师大会(SACC)再度盛装来袭。作为国内最负盛名的架构师盛会,SACC 2017云集了百余位国内外的顶级专家,围绕云计算、人工智可以、大数据、移动互联网、产业应使用等热点领域进行思维碰撞和技术交流。

苏宁易购全站HTTPS实践之路

▲苏宁云商IT总部架构师朱羿全

在第三天的网络架构设计及优化实践(专场17),来自苏宁云商IT总部架构师朱羿全先生以《苏宁易购全站HTTPS实践之路:如何做到兼顾安全与性可以》为主题进行了精彩分享,更多是应使用层改进和优化。

为什么我们要用HTTPS?

苏宁易购全站HTTPS实践之路

HTTPS是更安全的HTTP协议,它在TCP(负责网络数据传输)和HTTP层之间,添加了一个SSL层。这一层通过数字证书和加密算法对HTTP请求进行加密。已经采使用HTTP协议的网站要过渡到HTTPS,将在技术改造、服务器资源、流量资源上付出更多成本。此外,多个组织在加速推进HTTPS的部署进程,包括了谷歌、苹果、火狐!

苏宁易购全站HTTPS实践之路

朱羿全表示,如今的互联网已经进入了全站HTTPS时代,网站的命运唯有全站HTTPS方可以改变。苏宁易购全站HTTPS方案主要分为三个方面,系统改造、性可以优化、灰度上线。

强烈建议,尽早完成SSL握手,统一接入与调度,业务系统不需要做调整,统一优化与更新,提高接入层性可以与安全性,并对页面资源替换。

如何解决商使用CDN上的证书和私钥?

无论是主动提供私钥给商使用CDN厂商 (HTTPS不再安全),还是双证书策略 (治标不治本),都不如Keyless处理方案,这种方案适使用于金融,提供一台实时计算的 Key Server 。CDN 要使用到私钥时,通过加密通道将必要的参数传给 Key Server,由 Key Server 算出结果并返回就可。

HSTS的正当用,优势是减少了HTTP做302跳转的开销。302跳转不仅暴露了使用户的访问站点,也很容易被中间者支持(降级劫持、中间人攻击),最重要是降低了访问速度(影响性可以)。

缺点是1. HSTS在max-age过期时间内在用户端是强制HTTPS的,服务端无法控制。因而,需要降级时,HTTPS无法及时切换到HTTP。 2. HSTS是严格的HTTPS,一旦网络证书错误时,网页将直接无法访问(使用户无法选择忽视)。

Session resume的正当用,Session tickets(RFC 5077)此功可以需要开启前向性加密支持的密钥套件例如ECDHE-RAS-AES128-SHA256来提高安全性。为了保持安全性seesion_ticket.key需要经常保持更换。

接着分享了False Start的正当用、Ocsp stapling的正当用、加密套件的正当用、SPDY&HTTP/2的正当用、Nginx 启使用 HTTP/2 存在的问题、SSL硬件加速卡正当用、用户端HTTPS的性可以优化…..最后强调DNS防劫持:HttpDNS绕过公共DNS让网站访问永远正确。

未来的互联网、移动互联网越来越是一个服务交易的闭环链,意味着使用户对技术的依赖度日益提升,需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。

如今的互联网已经进入了全站HTTPS时代,使用户需要一个更安全的网络承载环境,同时,HTTPS也可以避免自己官网被劫持出现竞争对手广告的尴尬!

苏宁易购全站HTTPS实践之路

▲更多信息尽在IT168现场报道专题http://sacc.it168.com/topic2017/

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 苏宁易购全站HTTPS实践之路

发表回复