用了 HTTPS 還不安全，問題就出在低版本 TLS 上

HTTPS 加密時代已經來臨，近兩年，Google、Baidu、Facebook 等互聯網巨頭，不謀而合地開始大力推行 HTTPS， 2018 年 7 月 25 日，Chrome 68 上線，全部 HTTP 網站都會明確標記爲「不安全」。國內外包括大到 Google、Facebook 等巨頭，小到我的博客在內的衆多網站，以及登錄 Apple App Store 的 App，微信的小程序，都已經啓用了全站 HTTPS，這也是將來互聯網發展的趨勢。

HTTPS 持續優化之路

HTTPS（Hypertext Transfer Protocol Secure ）是一種以計算機網絡安全通訊爲目的的傳輸協議。在 HTTP 下加入了 SSL 層，從而具備了保護交換數據隱私和完整性和提供對網站服務器身份認證的功能，簡單來講它就是安全版的 HTTP 。

 

網上有很多問題，相似於「HTTPS 要比 HTTP 多用多少服務器資源？」所以，對 HTTPS 的加密優化是又拍雲一直努力的方向，近兩年咱們上線了一系列提高 HTTPS 性能的舉措：包括 HSTS（HTTP Strict Transport Security，HTTP 嚴格傳輸安全）、HTTP/2（ 包括 Server Push）、TLS 1.3 等功能，在國內 CDN 市場一直處於領先地位。近期，咱們又一次推出了最低 TLS 版本管理功能。

低版本 TLS 之殤

低版本的 TLS 存在許多嚴重漏洞，這些漏洞使得網站存在被攻擊的風險，其中POODLE和 BEAST這兩個漏洞就較大多數人所知。另外根據 Nist（美國國家標準與技術研究院）所說，如今沒有補丁或修復程序可以充分修復低版本 TLS 的漏洞，儘快升級到高版本並禁用低版本的 TLS 是最好的方法。

隨着加密標準的升級，TLS 1/1.1 將逐漸被全行業禁用。目前正處於 TLS 1.2 取代 TLS 1/1.1 的過渡時期，2018 年將會有愈來愈多的互聯網安全企業啓用 TLS 1.2，看看下面幾個業界的動態就知道低版本 TLS 的現狀了。

• GitHub 於 2018 年 2 月 1 日起，禁用 TLSv1 和 TLSv1.1。
• Salesforce 於 2018 年 3 月 逐步禁用 TLSv1。
• 微信小程序要求的 TLS 版本必須大於等於 1.2。
• 爲了符合支付卡行業數據安全標準（PCI DSS）並符合行業最佳實踐，GlobalSign 將在 2018 年 6 月 21 日禁用 TLS 1 和 TLS 1.1 。

其中 PCI DSS 最新合規標準已於 2018 年 6 月 30 日生效，該標準要求禁用低版本 TLS 協議（例如：TLSv1），HTTPS 配置應實施更安全的加密協議（TLSv1.1 或更高版本，強烈建議使用 TLS v1.2 ），以知足 PCI DSS 最新合規標準的要求，從而保護支付數據。

選擇的協議級別越高，相應的也就更安全，可是能夠支持的瀏覽器也就越少，有可能會影響終端用戶訪問，請謹慎選擇配置。

高版本 TLS VS 低版本 TLS

這裏經過HTTPS安全等級檢測工具 對網站安全性進行了一個測試。

 

△ 最低 TLS 版本默認爲 TLSv1

 

 

△ 最低 TLS 版本設置爲 TLSv1.1

其中 TLSv1 版本的測試結果中顯示，PCI DSS 不合規。開啓了最低 TLS 版本管理功能的不存在這個問題。

開啓最低 TLS 版本管理功能

登錄又拍雲控制檯，建立或者選擇一個 CDN、雲存儲服務，選擇「配置」，再選擇 「HTTPS」，找到「最低 TLS 版本」配置項，點擊【管理】按鈕便可進入配置界面。

 

客戶能夠按照本身網站、App、小程序的實際需求，選擇 TLSv一、TLSv1.一、TLSv1.二、TLSv1.3 中的一個，做爲最低 TLS 版本。

爲了知足某些測試要求，如需設置最低 TLS 版本爲 TLSv1.3，須要提早開啓 TLS 1.3 功能（TLS 1.3 默認關係，須要手動開啓。進入路徑：控制檯 ⇒ 選擇或建立服務 ⇒ 配置 ⇒ HTTPS ⇒ TLS 1.3）。

未來，又拍雲會持續對 HTTPS 安全加密進行優化，也會不斷推出新的功能以增長靈活性及安全性，爲網絡安全和進步盡一份力量。

 

推薦閱讀：

科普 TLS 1.3 - 新特性與開啓方式