Я обсуждал это в статье, которую я написал вчераБезопасность передачи данныхВ последней части упоминается решение безопасности передачи данных через HTTPS. Тогда снова возникает новый вопрос: с какими техническими проблемами мы можем столкнуться в процессе внедрения HTTPS на уровне сайта? Поэтому я сегодня с вами посчитаю этот счет, и уточню техническую стоимость.
Готов к работе
1.купить сертификат, веб-сайт должен подать заявку на получение сертификата безопасности для использования HTTPS, что в настоящее время все еще является относительно громоздким, и небольшие компании несут определенные расходы. Кроме того, обязательно выберите обычную организацию, в противном случае доступ к вашему веб-сайту будет осуществляться с помощью основного браузера, такого как Chrome, и вам будет выведено большое предупреждение, сообщающее пользователю о проблеме с сертификатом.
2.Все ресурсы на странице должны быть переведены на https, в том числе: картинки, js, формы форм и т. д., иначе браузер встревожится.
3. Убедитесь, что все используемые узлы CDN поддерживают HTTPS., если это самостоятельный IDC, необходимо гарантировать, что узлы idc и cdn по всей стране или даже по всему миру.
Общие сценарии для CDN с использованием https:
1 Владелец веб-сайта предоставляет закрытый ключ для cdn, а для возврата к исходному коду используется http.
2 cdn использует общедоступное доменное имя и общедоступный сертификат, поэтому доменное имя ресурса нельзя настроить. Возврат к происхождению использует http.
3 Обеспечивает только динамическое ускорение, cdn выполняет tcp proxy и не кэширует содержимое.
4. Все среды разработки и тестирования должны быть обновлены с помощью https., чтобы среда на всех уровнях поддерживала один и тот же набор сетевых протоколов.
проблемы с производительностью
После выполнения вышеуказанных технических приготовлений мы также должны знать о проблемах с производительностью, вызванных внедрением HTTPS:
1. Увеличено время работы в сети, проще говоря, требуется несколько рукопожатий, время работы в сети увеличивается, и пользователям требуется некоторое время, чтобы перейти с http на https.
Для оптимизации этой части существуют схемы оптимизации, такие как Session ticket или Session Cache, но у каждой есть свои преимущества и недостатки.
2. Время расчета увеличивается, требует более высокой производительности компьютера, а https необходимо выполнить еще одну проверку RSA.
Для этой части оптимизации основным способом является использование новейшего протокола openssl, использование аппаратного ускорения, отдание приоритета использованию ключей ECC и так далее.
вызовы безопасности
Что касается этой части, общие риски безопасности включают в себя: атаки с понижением версии и атаки повторного согласования.
В первом случае злоумышленник подделывает или изменяет сообщение «привет клиенту», чтобы клиент и сервер взаимодействовали с использованием более слабого набора шифров или протокола. Для атаки с повторным согласованием злоумышленник использует слабый алгоритм безопасности после согласования, чтобы попытаться украсть содержимое передачи, и может непрерывно инициировать полный запрос квитирования, запуская сервер для выполнения высокоинтенсивных вычислений и вызывая отказ в обслуживании.
Конечно, в этой части, благодаря усилиям основных производителей или производителей облачных сервисов, для наших обычных бизнес-пользователей нам вряд ли нужно заботиться о проблемах безопасности на уровне протокола. Цель, которую я здесь изложил, состоит в том, чтобы прояснить, что вопросы безопасности нельзя постоянно ослаблять.
Окончательное резюме
Переход на HTTPS — неизбежная тенденция, я верю, что к ней будет присоединяться все больше и больше сайтов, и после завершения польза, которую это может нам принести, огромна. Для нашей технической команды, прежде чем внедрять его, мы должны учесть технические затраты, сделать соответствующие технические резервы и хорошо поработать в онлайн-процессе перехода с HTTP на HTTPS, чтобы убедиться, что все безопасно.
Отсканируйте QR-код или вручную выполните поиск в общедоступной учетной записи WeChat [стек архитектуры]: ForestNotes
Добро пожаловать на перепечатку, принесите следующий двумерный код