內容來源:2017年5月23日,亞洲誠信高級技術經理餘寧在「世界雲計算 · 中國站」進行《HTTPS最佳安全實踐》演講分享。IT大咖說做爲獨家視頻合做方,經主辦方和講者審閱受權發佈。
閱讀字數 :946 | 3分鐘閱讀
隨着亞洲誠信2016年推出加密無處不在以來,HTTPS的使用成本和技術門檻逐步下降,HTTPS正被愈來愈多的網站和企業使用。可是咱們發現,進行正確的HTTPS配置和安所有署狀況並不樂觀。這次分享主要向你們介紹HTTPS常見安全威脅以及如何部署安全的HTTPS服務。html
嘉賓分享地址:t.cn/RoVF9H5前端
2014年到2015年,Google、Baidu等搜索引擎優先收錄了HTTPS網站。
算法
2015年,Baidu、Alibaba等國內大型互聯網公司陸續實現了全站HTTPS加密。
小程序
2016年,Apple強制實施ATS標準;微信小程序要求後臺通訊必須用HTTPS;美國、英國政府機構網站實現全站HTTPS;國家網絡安全法規定,網絡運營者須要保護其用戶信息的安全,並明確了相關法律責任。
微信小程序
2017年,Chrome、Firefox將標示HTTPS站點不安全。
瀏覽器
HTTP/2的主流實現都要求使用HTTPS。TLS1.3即將發佈,使HTTPS更快更安全。
安全
HTTPS的安全現狀還是不容樂觀。微信
首先要考慮證書品牌,看它的兼容性、技術背景如何,口碑怎樣,佔有率是多少。網絡
審覈類型根據審覈的強度分爲了EV、OV、DV。商用站點最好是選擇EV、OV。post
從證書功能上來看,又分爲單域名、多域名和通配符。而通常狀況下,多域名和通配符容易增長風險,因此在能知足基本需求的狀況下儘可能選擇單域名。
常見的證書算法有RSA、ECC等。ECC是目前更安全、性能更高的一種算法。
完善證書鏈,提高兼容性。
啓用安全協議版本,棄用不安全協議版本。
選用安全性能好的套件組合,棄用一些有安全漏洞或加密強度不高的套件組合。
利用Session ID和Session Ticker實現會話恢復。
經過調整加密協議、加密套件或升級SSL服務端等措施獲得修復。
HSTS:瀏覽器實現HTTPS強制跳轉,減小會話劫持風險。
HPKP:指定瀏覽器信任的公鑰,防止CA誤發證書而致使中間人攻擊。
CAA:經過DNS指定本身信任的CA,使CA避免誤發證書。
OCSPStapling:服務端SSL握手過程直接返回OCSP狀態,避免用戶向CA查詢,保護用戶隱私。
一、配置符合PFS規範的加密套件。
二、在服務端TLS協議中啓用TLS1.2。
三、保證當前域名與所使用的證書匹配。
四、保證證書在有效期內。
五、使用SHA-2簽名算法的證書。
六、保證證書籤發機構是可信的CA機構。
七、HSTS的max-age須要大於15768000秒。
個人分享到此結束,謝謝你們!