HTTPS 加密時代已經來臨,近兩年,Google、Baidu、Facebook 等網際網路巨頭,不謀而合地開始大力推行 HTTPS, 2018 年 7 月 25 日,Chrome 68 上線,所有 HTTP 網站都會明確標記為“不安全”。國內外包括大到 Google、Facebook 等巨頭,小到個人部落格在內的眾多網站,以及登陸 Apple App Store 的 App,微信的小程式,都已經啟用了全站 HTTPS,這也是未來網際網路發展的趨勢。
HTTPS 持續優化之路
HTTPS(Hypertext Transfer Protocol Secure )是一種以計算機網路安全通訊為目的的傳輸協議。在 HTTP 下加入了 SSL 層,從而具有了保護交換資料隱私和完整性和提供對網站伺服器身份認證的功能,簡單來說它就是安全版的 HTTP 。
網上有不少問題,類似於“HTTPS 要比 HTTP 多用多少伺服器資源?”因此,對 HTTPS 的加密優化是又拍雲一直努力的方向,近兩年我們上線了一系列提升 HTTPS 效能的舉措:包括 HSTS(HTTP Strict Transport Security,HTTP 嚴格傳輸安全)、HTTP/2( 包括 Server Push)、TLS 1.3 等功能,在國內 CDN 市場一直處於領先地位。近期,我們又一次推出了最低 TLS 版本管理功能。
低版本 TLS 之殤
低版本的 TLS 存在許多嚴重漏洞,這些漏洞使得網站存在被攻擊的風險,其中POODLE和 BEAST這兩個漏洞就較大多數人所知。另外根據 Nist(美國國家標準與技術研究院)所說,現在沒有補丁或修復程式能夠充分修復低版本 TLS 的漏洞,儘快升級到高版本並禁用低版本的 TLS 是最好的方法。
隨著加密標準的升級,TLS 1/1.1 將逐漸被全行業禁用。目前正處於 TLS 1.2 取代 TLS 1/1.1 的過渡時期,2018 年將會有越來越多的網際網路安全企業啟用 TLS 1.2,看看下面幾個業界的動態就知道低版本 TLS 的現狀了。
- GitHub 於 2018 年 2 月 1 日起,禁用 TLSv1 和 TLSv1.1。
- Salesforce 於 2018 年 3 月 逐步禁用 TLSv1。
- 微信小程式要求的 TLS 版本必須大於等於 1.2。
- 為了符合支付卡行業資料安全標準(PCI DSS)並符合行業最佳實踐,GlobalSign 將在 2018 年 6 月 21 日禁用 TLS 1 和 TLS 1.1 。
其中 PCI DSS 最新合規標準已於 2018 年 6 月 30 日生效,該標準要求禁用低版本 TLS 協議(例如:TLSv1),HTTPS 配置應實施更安全的加密協議(TLSv1.1 或更高版本,強烈建議使用 TLS v1.2 ),以滿足 PCI DSS 最新合規標準的要求,從而保護支付資料。
選擇的協議級別越高,相應的也就更安全,但是可以支援的瀏覽器也就越少,有可能會影響終端使用者訪問,請謹慎選擇配置。
高版本 TLS VS 低版本 TLS
這裡通過HTTPS安全等級檢測工具 對網站安全性進行了一個測試。
其中 TLSv1 版本的測試結果中顯示,PCI DSS 不合規。開啟了最低 TLS 版本管理功能的不存在這個問題。
開啟最低 TLS 版本管理功能
登陸又拍雲控制檯,建立或者選擇一個 CDN、雲端儲存服務,選擇「配置」,再選擇 「HTTPS」,找到「最低 TLS 版本」配置項,點選【管理】按鈕即可進入配置介面。
客戶可以按照自己網站、App、小程式的實際需求,選擇 TLSv1、TLSv1.1、TLSv1.2、TLSv1.3 中的一個,作為最低 TLS 版本。
為了滿足某些測試要求,如需設定最低 TLS 版本為 TLSv1.3,需要提前開啟 TLS 1.3 功能(TLS 1.3 預設關係,需要手動開啟。進入路徑:控制檯 ⇒ 選擇或建立服務 ⇒ 配置 ⇒ HTTPS ⇒ TLS 1.3)。
將來,又拍雲會持續對 HTTPS 安全加密進行優化,也會不斷推出新的功能以增加靈活性及安全性,為網路安全和進步盡一份力量。
推薦閱讀: