【专家坐堂】全站 HTTPS——如何规划、部署、优化?(获奖名单已公布)
在本次图书出版活动中,获得《HTTPS权威指南-在服务器和Web应用上部署SSL TLS和PKI》的网友有:@GB_juno
@forgaoqiang @devil3380 @ccjsj1 @撒加 @c3po
请以上获奖者在2017年1月20日前将姓名,公司,职务,行业,电话,邮箱,QQ,地址,站内短信发送给王楠w_n以便及时给您快递奖品。由于年底快递业务已停,将于2月6日开始陆续发放图书。
发不了站短的,请在原帖下方跟帖留言。
至于QQ现因两个编辑轮番值班登陆,可能会有遗漏的情况,有任何问题请尽量在原帖下方跟帖留言或在站务版块反馈,谢谢!
注:因特殊原因,每次活动的获奖者我都会通知各位,如果大家在截止日期之前还未联系到管理员,那么本次活动的得奖资格将被取消,所以请大家及时的与管理员取得联系,谢谢合作!
============================================================
背景介绍:2015 年阿里天猫、淘宝支持全站 HTTPS,并经历了两次双十一的洗礼,稳定的支撑了天量的交易。在此之前,百度的搜索也启用了 HTTPS。HTTPS 最直接的优势就是避免页面劫持。当然,随着各大主流浏览器对 HTTP/2 的支持,以及未来会将 HTTP 网站标记为不安全的等诸多因素,网站 HTTPS 是一个必然的趋势。
讨论话题(包括但不限于)1. 网站改造 HTTPS 过程中跳过的坑或者要注意的问题2. 影响甚至导致无法全站 HTTPS 的痛点或者障碍3. 证书申请以及私钥管理上的一些注意事项4. 部署 HTTPS 后,优化手段、遇到的问题以及解决方法5. 负载均衡下或者 CDN 中部署 HTTPS 的一些经验
欢迎任选一个到多个话题畅所欲言。
特邀嘉宾:杨洋(InfoHunter)前阿里巴巴 SSL/TLS、密码学和网络安全领域专家,曾负责阿里巴巴集团全站 HTTPS 和七层 DDoS 防御产品的核心设计和研发, 图书《HTTPS权威指南-在服务器和Web应用上部署SSL TLS和PKI》译者之一。
活动时间2016.11.28--2016.12.27
活动奖励:
参与讨论质量最优秀的会员奖励《HTTPS权威指南-在服务器和Web应用上部署SSL TLS和PKI》图书一本,共6 本。
http://images.china-pub.com/ebook4975001-4980000/4976155/zcover.jpg
作者: [英] Ivan Risti
译者: 杨洋 李振宇 蒋锷 周辉 陈传文
丛书名: 图灵程序设计丛书
出版社:人民邮电出版社
ISBN:9787115432728
上架时间:2016-8-25
出版日期:2016 年9月
开本:16开
页码:436
版次:1-1
所属分类:计算机 > 计算机网络 > 网络协议 > 综合
内容简介:本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。
试读样章:
1. 网站改造 HTTPS 过程中跳过的坑或者要注意的问题
ssl卸载消耗比较大的cpu,对于常用的nginx反向代理来说,启用了https后每秒请求处理能力会降低了很多(本人测试过大概10分之1,不保证正确度)。因此如果原来能够支撑住网站的服务就进行操作比较大的扩容了。另外就是安全以及协议、加密算法的选择。安全上来说要尽量用比较新的openssl library,协议来说一般用tls了,原来的sslv1/2/3基本都不太安全了...最后加密算法主要在于看浏览器支持,基于安全的需要选择适当的算法。
2. 影响甚至导致无法全站 HTTPS 的痛点或者障碍
全站https就要求了引用的资源也必须https。万一这些资源没有https怎么办,只能见一个搞一个。
3. 证书申请以及私钥管理上的一些注意事项
私钥要保管好,只对涉及的运维人员放开。不要通过qq、邮箱这种方式传,万一泄漏了就完了。即使传也要加密,加密密码通过电话或者其他方式传。
4. 部署 HTTPS 后,优化手段、遇到的问题以及解决方法
最近碰到的麻烦是chrome 53版本对赛门铁克证书必须要求ct的事情..无能为力,黑天鹅
5. 负载均衡下或者 CDN 中部署 HTTPS 的一些经验
做好了网站的动静分离后,静态元素放在单独的域名下。对于cdn这种资源,因为在前端也要部署https证书,应该申请独立的域名,即使泄漏了也无关紧要,毕竟只是静态资源。 回复 2# GB_juno
LS HTTPS 方面经验很丰富,赞一个!
本帖最后由 Godbach 于 2016-12-09 12:24 编辑
回复 2# GB_juno
启用了https后每秒请求处理能力会降低了很多(本人测试过大概10分之1,不保证正确度
是的。我之前了解的数据,单纯测试新建能力,应该是下降这么多。如果用 keepalive 传输数据阶段,应该会好很多。 GB_juno 发表于 2016-11-28 18:31
1. 网站改造 HTTPS 过程中跳过的坑或者要注意的问题
ssl卸载消耗比较大的cpu,对于常用的nginx反向代理 ...
赛门铁克被google强制CT的那个事情,如果证书被赛门铁克正确的记了log,应该没啥问题吧。不过Chrome 53也有bug:
https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=ALERT2160
回复 5# InfoHunter
嘉宾出现了。各位可以多多问 SSL 的相关问题啊,InfoHunter 绝对是 SSL 方面的大牛。
本帖最后由 forgaoqiang 于 2016-12-15 19:37 编辑
1. 网站改造 HTTPS 过程中跳过的坑或者要注意的问题
以前改造的时候直接去网上复制了一段HTTPS的nginx配置文件,发现部分浏览器正常,对于新的火狐或者谷歌浏览器,居然访问报错
出问题的配置部分,怎么看都是语法正确的
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
火狐会给出下面的提示
SSL decrypt error during SSL handshake
chrome直接不给提示,站点不可访问
原因居然是加密选择过弱,需要下面的配置才能正常工作,因此正确的选择 加密套件 非常重要
ssl_protocols SSLv3 TLSv1;站点更换成HTTPS之后发现性能下降,uptime查看负载的确高不少,最后升级了带宽
2. 影响甚至导致无法全站 HTTPS 的痛点或者障碍
HTTPS是无法被缓存的,这个是痛点,对于无关紧要的静态资源来说静态化必要性不大,而且开销过大,很划不来。HTTPS引用的资源要求是https否则现代浏览器都会警告报错
3. 证书申请以及私钥管理上的一些注意事项
证书需要放置到服务器上,私钥当然要尽量做到保密,管理员小心的备份私钥。申请证书当时用的沃通的服务,现在沃通的部分证书暂时不被苹果、谷歌、火狐他们接受,这也是个问题。因此还是要考虑选择靠谱点的证书服务商。
保存的话压缩加密备份,发送到邮箱备份还是很靠谱的,不容易出现丢失现象。
4. 部署 HTTPS 后,优化手段、遇到的问题以及解决方法
使用的证书是等级较低的,证书链不完整的话,会被当非法站点 。。。 重新签的证书
5. 负载均衡下或者 CDN 中部署 HTTPS 的一些经验
负载均衡或者CDN采用HTTPS部署使用单独的证书和独立域名,避免同域下的浏览器加载并发限制等问题。
另外网上对证书视乎没有好的总结,我个人总结一下证书类型:
IV(Identity Validation)
个人验证型(IdentityValidation SSL),适用于个人专业网站使用,显示个人姓名;
DV(Domain Validation) 证书
只认证网站域名是不是申请人所有,不验证单位,级别是Class 1 级别的。
OV(Organization Validation)证书
需要提供注册局(工商局)注册文档、组织机构代码证、法人**明等等资料,然后CA会去工商局网站核对,然后还会验证电话等等步骤;
适用于电子商务、电子政务、企事业管理单位。
EV(Extended Validation)证书
不仅需要进行上述的验证环节,还需要公司资料能够在第三方数据库中查询得到,包括:公司的电话需要在黄页上查询到,公司资料能够在D&B(邓白氏)等处查询到并且与注册信息一致
适用于银行金融类电子商务网站
相对来说IV和DV可以是免费的,但是OV和EV一般是越来越贵~
InfoHunter 发表于 2016-11-28 20:05 static/image/common/back.gif
赛门铁克被google强制CT的那个事情,如果证书被赛门铁克正确的记了log,应该没啥问题吧。不过Chrome 53也 ...
InfoHunter 兄介绍一下ATS的要求吧
infoHunter这个名字好熟,往下一翻,前同事。。。。 没有接触过HTTPS相关的项目,但SSL/TLS使用硬件加速一下的话应该会对HTTPS有一定的好处,Intel的一个解决方案是QuickAssist,
Openssl项目Intel有专门的一个分支用于QuickAssisit的Patch,Nginx也有相应的Pacth,这些信息是几年前和Intel工程师讨论问题时得到的,不知道现在变成啥样了。
另外关于证书获取,开发过SCEP(简单证书注册协议),当时找支持SCEP的服务器真的很难。
证书大小不知道会不会对HTTPS有影响,x509证书一般比较大,做车载通信时接触过1609.2证书,这个证书特点就是小,大概就是100K左右,现在好像也有ssl over 1609.2的一些应用。