忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 130981 | 回复: 63

【好书推荐】全站 HTTPS——如何规划、部署、优化?(获奖名单已公布) [复制链接]

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-28 14:27 |显示全部楼层
在本次图书出版活动中,获得HTTPS权威指南-在服务器和Web应用上部署SSL TLSPKI的网友有:
@GB_juno
@forgaoqiang

请以上获奖者在2017年1月20日前将姓名,公司,职务,行业,电话,邮箱,QQ,地址,站内短信发送给王楠w_n以便及时给您快递奖品。
由于年底快递业务已停,将于2月6日开始陆续发放图书。

发不了站短的,请在原帖下方跟帖留言。


至于QQ现因两个编辑轮番值班登陆,可能会有遗漏的情况,有任何问题请尽量在原帖下方跟帖留言或在站务版块反馈,谢谢!

注:因特殊原因,每次活动的获奖者我都会通知各位,如果大家在截止日期之前还未联系到管理员,那么本次活动的得奖资格将被取消,所以请大家及时的与管理员取得联系,谢谢合作!

============================================================

背景介绍:
2015 年阿里天猫、淘宝支持全站 HTTPS,并经历了两次双十一的洗礼,稳定的支撑了天量的交易。在此之前,百度的搜索也启用了 HTTPSHTTPS 最直接的优势就是避免页面劫持。当然,随着各大主流浏览器对 HTTP/2 的支持,以及未来会将 HTTP 网站标记为不安全的等诸多因素,网站 HTTPS 是一个必然的趋势。


讨论话题(包括但不限于)
1.    网站改造 HTTPS 过程中跳过的坑或者要注意的问题
2.    影响甚至导致无法全站 HTTPS 的痛点或者障碍
3.    证书申请以及私钥管理上的一些注意事项
4.    部署 HTTPS 后,优化手段、遇到的问题以及解决方法
5.    负载均衡下或者 CDN 中部署 HTTPS 的一些经验

欢迎任选一个到多个话题畅所欲言。


特邀嘉宾
杨洋(InfoHunter前阿里巴巴 SSL/TLS、密码学和网络安全领域专家,曾负责阿里巴巴集团全站 HTTPS 和七层 DDoS 防御产品的核心设计和研发, 图书《HTTPS权威指南-在服务器和Web应用上部署SSL TLSPKI》译者之一。


活动时间
2016.11.28--2016.12.27


活动奖励

参与讨论质量最优秀的会员奖励《HTTPS权威指南-在服务器和Web应用上部署SSL TLSPKI》图书一本,共6 本。



作者: [英] Ivan Risti   
译者: 杨洋 李振宇 蒋锷 周辉 陈传文
丛书名: 图灵程序设计丛书
出版社:人民邮电出版社
ISBN:9787115432728
上架时间:2016-8-25
出版日期:2016 年9月
开本:16开
页码:436
版次:1-1
所属分类:计算机 > 计算机网络 > 网络协议 > 综合


内容简介:本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。


试读样章:
第1章 SSL、TLS和密码学.doc (525.29 KB, 下载次数: 81)

论坛徽章:
22
CU大牛徽章
日期:2013-09-18 15:22:06摩羯座
日期:2014-03-25 23:51:36技术图书徽章
日期:2014-04-03 16:47:26白羊座
日期:2014-04-14 22:56:32午马
日期:2014-05-16 17:18:08未羊
日期:2014-08-12 22:15:31神斗士
日期:2015-11-20 17:26:2515-16赛季CBA联赛之浙江
日期:2016-03-15 18:27:4215-16赛季CBA联赛之同曦
日期:2016-03-22 09:21:0115-16赛季CBA联赛之北控
日期:2017-03-26 21:47:12寅虎
日期:2014-03-25 21:54:32寅虎
日期:2014-06-03 10:53:34
发表于 2016-11-28 18:31 |显示全部楼层
1.    网站改造 HTTPS 过程中跳过的坑或者要注意的问题
ssl卸载消耗比较大的cpu,对于常用的nginx反向代理来说,启用了https后每秒请求处理能力会降低了很多(本人测试过大概10分之1,不保证正确度)。因此如果原来能够支撑住网站的服务就进行操作比较大的扩容了。另外就是安全以及协议、加密算法的选择。安全上来说要尽量用比较新的openssl library,协议来说一般用tls了,原来的sslv1/2/3基本都不太安全了...最后加密算法主要在于看浏览器支持,基于安全的需要选择适当的算法。

2.    影响甚至导致无法全站 HTTPS 的痛点或者障碍
全站https就要求了引用的资源也必须https。万一这些资源没有https怎么办,只能见一个搞一个。

3.    证书申请以及私钥管理上的一些注意事项
私钥要保管好,只对涉及的运维人员放开。不要通过qq、邮箱这种方式传,万一泄漏了就完了。即使传也要加密,加密密码通过电话或者其他方式传。

4.    部署 HTTPS 后,优化手段、遇到的问题以及解决方法
最近碰到的麻烦是chrome 53版本对赛门铁克证书必须要求ct的事情..无能为力,黑天鹅

5.    负载均衡下或者 CDN 中部署 HTTPS 的一些经验
做好了网站的动静分离后,静态元素放在单独的域名下。对于cdn这种资源,因为在前端也要部署https证书,应该申请独立的域名,即使泄漏了也无关紧要,毕竟只是静态资源。

评分

参与人数 1可用积分 +8 收起 理由
Godbach + 8 很给力!

查看全部评分

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-28 18:48 |显示全部楼层
回复 2# GB_juno

LS HTTPS 方面经验很丰富,赞一个!

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-28 18:49 |显示全部楼层
本帖最后由 Godbach 于 2016-12-09 12:24 编辑

回复 2# GB_juno
启用了https后每秒请求处理能力会降低了很多(本人测试过大概10分之1,不保证正确度

是的。我之前了解的数据,单纯测试新建能力,应该是下降这么多。如果用 keepalive 传输数据阶段,应该会好很多。

论坛徽章:
0
发表于 2016-11-28 20:05 |显示全部楼层
GB_juno 发表于 2016-11-28 18:31
1.    网站改造 HTTPS 过程中跳过的坑或者要注意的问题
ssl卸载消耗比较大的cpu,对于常用的nginx反向代理 ...

赛门铁克被google强制CT的那个事情,如果证书被赛门铁克正确的记了log,应该没啥问题吧。不过Chrome 53也有bug:
https://knowledge.symantec.com/s ... nt&id=ALERT2160

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-28 22:33 |显示全部楼层
回复 5# InfoHunter

嘉宾出现了。各位可以多多问 SSL 的相关问题啊,InfoHunter 绝对是 SSL 方面的大牛。

论坛徽章:
39
水瓶座
日期:2013-08-15 11:26:422015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之乌兹别克斯坦
日期:2015-03-27 14:01:172015年亚洲杯之约旦
日期:2015-03-31 15:06:442015亚冠之首尔
日期:2015-06-16 23:24:37IT运维版块每日发帖之星
日期:2015-07-01 22:20:002015亚冠之德黑兰石油
日期:2015-07-08 09:32:07IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-10-10 06:20:00IT运维版块每日发帖之星
日期:2015-10-11 06:20:00IT运维版块每日发帖之星
日期:2015-11-10 06:20:00
发表于 2016-11-29 09:58 |显示全部楼层
本帖最后由 forgaoqiang 于 2016-12-15 19:37 编辑

1.    网站改造 HTTPS 过程中跳过的坑或者要注意的问题

以前改造的时候直接去网上复制了一段HTTPS的nginx配置文件,发现部分浏览器正常,对于新的火狐或者谷歌浏览器,居然访问报错


出问题的配置部分,怎么看都是语法正确的
  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
复制代码

火狐会给出下面的提示
SSL decrypt error during SSL handshake
chrome直接不给提示,站点不可访问

原因居然是加密选择过弱,需要下面的配置才能正常工作,因此正确的选择 加密套件 非常重要
  1. ssl_protocols SSLv3 TLSv1;
复制代码
站点更换成HTTPS之后发现性能下降,uptime查看负载的确高不少,最后升级了带宽


2.    影响甚至导致无法全站 HTTPS 的痛点或者障碍
HTTPS是无法被缓存的,这个是痛点,对于无关紧要的静态资源来说静态化必要性不大,而且开销过大,很划不来。HTTPS引用的资源要求是https否则现代浏览器都会警告报错


3.    证书申请以及私钥管理上的一些注意事项
证书需要放置到服务器上,私钥当然要尽量做到保密,管理员小心的备份私钥。申请证书当时用的沃通的服务,现在沃通的部分证书暂时不被苹果、谷歌、火狐他们接受,这也是个问题。因此还是要考虑选择靠谱点的证书服务商。
保存的话压缩加密备份,发送到邮箱备份还是很靠谱的,不容易出现丢失现象。


4.    部署 HTTPS 后,优化手段、遇到的问题以及解决方法
使用的证书是等级较低的,证书链不完整的话,会被当非法站点 。。。 重新签的证书


5.    负载均衡下或者 CDN 中部署 HTTPS 的一些经验
负载均衡或者CDN采用HTTPS部署使用单独的证书和独立域名,避免同域下的浏览器加载并发限制等问题。


另外网上对证书视乎没有好的总结,我个人总结一下证书类型:

IV(Identity Validation)
个人验证型(IdentityValidation SSL),适用于个人专业网站使用,显示个人姓名;

DV(Domain Validation) 证书
只认证网站域名是不是申请人所有,不验证单位,级别是Class 1 级别的。


OV(Organization Validation)证书
需要提供注册局(工商局)注册文档、组织机构代码证、法人**明等等资料,然后CA会去工商局网站核对,然后还会验证电话等等步骤;
适用于电子商务、电子政务、企事业管理单位。

EV(Extended Validation)证书
不仅需要进行上述的验证环节,还需要公司资料能够在第三方数据库中查询得到,包括:公司的电话需要在黄页上查询到,公司资料能够在D&B(邓白氏)等处查询到并且与注册信息一致
适用于银行金融类电子商务网站


相对来说IV和DV可以是免费的,但是OV和EV一般是越来越贵~

评分

参与人数 1可用积分 +8 收起 理由
Godbach + 8 赞一个!

查看全部评分

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-29 09:59 |显示全部楼层
InfoHunter 发表于 2016-11-28 20:05
赛门铁克被google强制CT的那个事情,如果证书被赛门铁克正确的记了log,应该没啥问题吧。不过Chrome 53也 ...

InfoHunter 兄介绍一下ATS的要求吧
来自安卓客户端来自客户端

论坛徽章:
4
技术图书徽章
日期:2014-04-24 15:46:21C
日期:2016-10-25 16:23:58极客徽章
日期:2016-12-07 14:03:402017金鸡报晓
日期:2017-02-08 10:39:42
发表于 2016-11-29 10:22 |显示全部楼层
infoHunter这个名字好熟,往下一翻,前同事。。。。

论坛徽章:
4
技术图书徽章
日期:2014-04-24 15:46:21C
日期:2016-10-25 16:23:58极客徽章
日期:2016-12-07 14:03:402017金鸡报晓
日期:2017-02-08 10:39:42
发表于 2016-11-29 10:48 |显示全部楼层
没有接触过HTTPS相关的项目,但SSL/TLS使用硬件加速一下的话应该会对HTTPS有一定的好处,Intel的一个解决方案是QuickAssist,
Openssl项目Intel有专门的一个分支用于QuickAssisit的Patch,Nginx也有相应的Pacth,这些信息是几年前和Intel工程师讨论问题时得到的,不知道现在变成啥样了。

另外关于证书获取,开发过SCEP(简单证书注册协议),当时找支持SCEP的服务器真的很难。
证书大小不知道会不会对HTTPS有影响,x509证书一般比较大,做车载通信时接触过1609.2证书,这个证书特点就是小,大概就是100K左右,现在好像也有ssl over 1609.2的一些应用。

评分

参与人数 1可用积分 +2 收起 理由
Godbach + 2 赞一个!

查看全部评分

您需要登录后才可以回帖 登录 | 注册

本版积分规则

SACC2017购票6.8折优惠进行时

2017中国系统架构师大会(SACC2017)将于10月19-21日在北京新云南皇冠假日酒店震撼来袭。今年,大会以“云智未来”为主题,云集国内外顶级专家,围绕云计算、人工智能、大数据、移动互联网、产业应用等热点领域展开技术探讨与交流。本届大会共设置2大主会场,18个技术专场;邀请来自互联网、金融、制造业、电商等多个领域,100余位技术专家及行业领袖来分享他们的经验;并将吸引4000+人次的系统运维、架构师及IT决策人士参会,为他们提供最具价值的交流平台。
----------------------------------------
优惠时间:2017年8月2日前

活动链接>>
  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP