2016 年底了,距离上线 HTTPS 还遥遥无期?想走捷径看这里!

年底了,很多事情都要收尾了,听说互联网行业各大公司正在如火如荼地升级HTTPS,那现在HTTPS上线是个什么情况?

各大公司都在上线HTTPS

《Google透明度报告:各大热门网站的HTTPS使用情况》

另有9家热门网站使用HTTPS:

通过HTTPS加载的网页所占的百分比如下图:

其实早在2014年,谷歌就宣布将把HTTPS作为影响搜索排名的重要因素,并优先索引HTTPS网页。

上面的图表显示了在发送到Google服务器的请求中,使用加密连接的百分比,使用趋势始终保持上升势头。
除了Google,Apple也在不遗余力地推动HTTPS的上线工作,Firefox、Safari、Opera、MS Edge都要求使用HTTPS加密连接。
上述都是国外HTTPS推进情况。至于国内,百度作为首家推动HTTPS的互联网公司,曾公告表明,开放收录HTTPS站点,同一个域名的HTTP版和HTTPS版为一个站点,优先收录HTTPS版,并于 2015 年的 6 月上线HTTPS。
当然,除了百度,国内CDN服务商也不落后,百度刚上线HTTPS没多久,国内对这块并没有很大重视,甚至连阿里都还没上线HTTPS时,又拍云就提供了全站HTTPS加速服务,算是国内首推自定义HTTPS加速服务的CDN厂商了。
到目前为止,阿里、淘宝(包括天猫)、豆瓣、知乎、虎嗅、京东、亚马逊等也逐渐成功上线HTTPS。
放眼国内外,互联网巨头们纷纷步入HTTPS上线之旅,这和HTTP自身使用明文传输的密钥和口令很容易被拦截的局限性分不开。互联网+时代不断发展,联网设备日益激增,随之而来的互联网访问安全性愈加不容乐观。据市场研究机构预测,到 2020年全球联网设备数量将突破330亿台(3 倍于当前数量),保障安全高效的互联网数据传输的刚性需求迫在眉睫,部署HTTPS不得不成为各大互联网公司考虑的头等大事了。

上线HTTPS方案

大公司都已经着手上线HTTPS,还没部署HTTPS的公司们该心急如焚了吧,那应该如何部署HTTPS?
方案一:自己后台开发部署
HTTPS其实是由两部分组成:HTTP+SSL/TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密,所以传输的数据都是加密后的数据。HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。它提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯。

看上去就是加了一层处理加密信息的模块,但是自己部署HTTPS要做的事情就很多了,还容易忽略一些坑,需不时更新,这里就简单说一下部署HTTPS需要注意优化的点:
HTTPS访问速度优化:可以从Tcp fast open、HSTS、Session resume、Ocsp stapling、False start、使用 SPDY 或者 HTTP2入手。

HTTPS计算性能优化:可以优先使用ECC,使用最新版的openssl,另外要注意硬件加速方案,现在比较常用的TLS硬件加速方案主要有两种:SSL专用加速卡和GPU SSL加速,最后就是TLS远程代理计算了。

HTTPS安全配置:这里就要注意协议版本选择和加密套件选择,以及HTTPS防攻击,HTTPS防攻击包括防止协议降级攻击和防止重新协商攻击。

除了注意这些需要优化的点,想要签署第三方可信任的SSL证书却不容易,小拍之前有整理过一些证书资料哦~([点我看推荐证书](http://mp.weixin.qq.com/s?__biz=MjM5ODc5ODgyMw==&mid=2653575265&idx=1&sn=8147688d0941079b7c671dd632ed2dc3&chksm=bd1bcce98a6c45ff6a03a6b56915a90cdcdb003dbac83a13f5e68046e6c84eb338c58e6885c9&scene=21# wechat_redirect)),当然最让人头疼的是有五大技术难点!
HSTS。即使将一个HTTP网站升级为HTTPS网站,但是在浏览器中键入以www为开头的网址时,网页并不会自动跳转为HTTPS网站,因为浏览器默认打开http网站,基于此,就需要对HTTP的访问在服务器端做301、302或307重定向,使之跳转到HTTPS网站,让人头疼的是使用301、302跳转时,只要修改location指令,网站就会被劫持。对此,国际互联网工程组织IETE推行了一种新的web安全协议:HSTS,即307跳转。

HTTP/2.0。HTTP/2.0即超文本传输协议2.0,是HTTP协议的升级版。由互联网工程任务组的Hypertext Transfer Protocol Bis工作小组进行开发,以SPDY为原型,经过两年多的讨论和完善最终确定。

OSCP stapling。在HTTPS通信过程时,浏览器会去验证服务器端下发的证书链是否已经被撤销。验证的方法有两种:CRL和OCSP。但是这两种方法都有不足,OCSP Stapling技术则是对OCSP不足的弥补。

session ID。Session ID是一种在网络通信中使用(通常在一块数据的HTTP)来识别一个会话,具有一系列相关的信息交流。SessionID属性用于唯一地标识在服务器上包含会话数据的浏览器。

SNI技术。SNI定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

方案二:借助服务提供商
想要部署HTTPS,但是SSL证书找不好,还很费软妹币;技术难点也不过关,踩过的坑更是一个接一个……眼看不能排除万难高枕无忧,那么最好的办法就是交给别人来做了。
现在国内提供部署HTTPS的服务商还是有不少的,但是选哪一家服务商呢?小拍作为国内首推自定义HTTPS加速服务的CDN厂商,只想在这里自夸一番。
又拍云HTTPS加速服务使HTTPS和CDN有效结合,力求让HTTPS部署更简单、快捷,让客户享受更安全的加速服务。

迎接无限访问,又拍云助力全网加速;
抛开技术包袱,又拍云全新自主配置后台;
节约创业成本,又拍云全球CDN节点一起用;
升级HTTPS,又拍云一站式服务安全、加速两不误。

说了这么多,还不抓住年底的尾巴迅速升级HTTPS,如此才能保你2017网站访问安全无忧哦~

文/云叔

关键字:产品经理, SSL

版权声明

本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处。如若内容有涉嫌抄袭侵权/违法违规/事实不符,请点击 举报 进行投诉反馈!

相关文章

立即
投稿

微信公众账号

微信扫一扫加关注

返回
顶部