美文网首页前端小院又拍云Web前端之路
2016年底了,距离上线HTTPS还遥遥无期?想走捷径看这里!

2016年底了,距离上线HTTPS还遥遥无期?想走捷径看这里!

作者: 又小拍 | 来源:发表于2016-12-15 16:52 被阅读174次

    文丨半夏

    年底了,很多事情都要收尾了,听说互联网行业各大公司正在如火如荼地升级HTTPS,那现在HTTPS上线是个什么情况?

    各大公司都在上线HTTPS

    《Google透明度报告:各大热门网站的HTTPS使用情况》
    https://www.google.com/transparencyreport/https/grid/?hl=zh-CN)显示:已经有34家热门网站默认使用HTTPS。


    另有9家热门网站使用HTTPS:



    通过HTTPS加载的网页所占的百分比如下图:



    其实早在2014年,谷歌就宣布将把HTTPS作为影响搜索排名的重要因素,并优先索引HTTPS网页。

    上面的图表显示了在发送到Google服务器的请求中,使用加密连接的百分比,使用趋势始终保持上升势头。

    除了Google,Apple也在不遗余力地推动HTTPS的上线工作,Firefox、Safari、Opera、MS Edge都要求使用HTTPS加密连接。
    上述都是国外HTTPS推进情况。至于国内,百度作为首家推动HTTPS的互联网公司,曾公告表明,开放收录HTTPS站点,同一个域名的HTTP版和HTTPS版为一个站点,优先收录HTTPS版,并于 2015 年的 6 月上线HTTPS。
    当然,除了百度,国内CDN服务商也不落后,百度刚上线HTTPS没多久,国内对这块并没有很大重视,甚至连阿里都还没上线HTTPS时,又拍云就提供了全站HTTPS加速服务,算是国内首推自定义HTTPS加速服务的CDN厂商了。
    到目前为止,阿里、淘宝(包括天猫)、豆瓣、知乎、虎嗅、京东、亚马逊等也逐渐成功上线HTTPS。
    放眼国内外,互联网巨头们纷纷步入HTTPS上线之旅,这和HTTP自身使用明文传输的密钥和口令很容易被拦截的局限性分不开。互联网+时代不断发展,联网设备日益激增,随之而来的互联网访问安全性愈加不容乐观。据市场研究机构预测,到 2020年全球联网设备数量将突破330亿台(3 倍于当前数量),保障安全高效的互联网数据传输的刚性需求迫在眉睫,部署HTTPS不得不成为各大互联网公司考虑的头等大事了。

    上线HTTPS方案

    大公司都已经着手上线HTTPS,还没部署HTTPS的公司们该心急如焚了吧,那应该如何部署HTTPS?
    方案一:自己后台开发部署
    HTTPS其实是由两部分组成:HTTP+SSL/TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密,所以传输的数据都是加密后的数据。HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。它提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯。

    看上去就是加了一层处理加密信息的模块,但是自己部署HTTPS要做的事情就很多了,还容易忽略一些坑,需不时更新,这里就简单说一下部署HTTPS需要注意优化的点:
    HTTPS访问速度优化:可以从Tcp fast open、HSTS、Session resume、Ocsp stapling、False start、使用 SPDY 或者 HTTP2入手。

    HTTPS计算性能优化:可以优先使用ECC,使用最新版的openssl,另外要注意硬件加速方案,现在比较常用的TLS硬件加速方案主要有两种:SSL专用加速卡和GPU SSL加速,最后就是TLS远程代理计算了。

    HTTPS安全配置:这里就要注意协议版本选择和加密套件选择,以及HTTPS防攻击,HTTPS防攻击包括防止协议降级攻击和防止重新协商攻击。

    除了注意这些需要优化的点,想要签署第三方可信任的SSL证书却不容易,小拍之前有整理过一些证书资料哦~(点我看推荐证书),当然最让人头疼的是有五大技术难点!
    HSTS。即使将一个HTTP网站升级为HTTPS网站,但是在浏览器中键入以www为开头的网址时,网页并不会自动跳转为HTTPS网站,因为浏览器默认打开http网站,基于此,就需要对HTTP的访问在服务器端做301、302或307重定向,使之跳转到HTTPS网站,让人头疼的是使用301、302跳转时,只要修改location指令,网站就会被劫持。对此,国际互联网工程组织IETE推行了一种新的web安全协议:HSTS,即307跳转。

    HTTP/2.0。HTTP/2.0即超文本传输协议2.0,是HTTP协议的升级版。由互联网工程任务组的Hypertext Transfer Protocol Bis工作小组进行开发,以SPDY为原型,经过两年多的讨论和完善最终确定。

    OSCP stapling。在HTTPS通信过程时,浏览器会去验证服务器端下发的证书链是否已经被撤销。验证的方法有两种:CRL和OCSP。但是这两种方法都有不足,OCSP Stapling技术则是对OCSP不足的弥补。

    session ID。Session ID是一种在网络通信中使用(通常在一块数据的HTTP)来识别一个会话,具有一系列相关的信息交流。SessionID属性用于唯一地标识在服务器上包含会话数据的浏览器。

    SNI技术。SNI定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

    方案二:借助服务提供商
    想要部署HTTPS,但是SSL证书找不好,还很费软妹币;技术难点也不过关,踩过的坑更是一个接一个……眼看不能排除万难高枕无忧,那么最好的办法就是交给别人来做了。
    现在国内提供部署HTTPS的服务商还是有不少的,但是选哪一家服务商呢?小拍作为国内首推自定义HTTPS加速服务的CDN厂商,只想在这里自夸一番。
    又拍云HTTPS加速服务使HTTPS和CDN有效结合,力求让HTTPS部署更简单、快捷,让客户享受更安全的加速服务。

    迎接无限访问,又拍云助力全网加速;
    抛开技术包袱,又拍云全新自主配置后台;
    节约创业成本,又拍云全球CDN节点一起用;
    升级HTTPS,又拍云一站式服务安全、加速两不误。

    说了这么多,还不抓住年底的尾巴迅速升级HTTPS,如此才能保你2017网站访问安全无忧哦~

    相关文章

      网友评论

        本文标题:2016年底了,距离上线HTTPS还遥遥无期?想走捷径看这里!

        本文链接:https://www.haomeiwen.com/subject/gudgmttx.html