內容來源:2017年5月23日,亞洲誠信高階技術經理餘寧在“世界雲端計算 · 中國站”進行《HTTPS最佳安全實踐》演講分享。IT大咖說作為獨家視訊合作方,經主辦方和講者審閱授權釋出。
閱讀字數:946 | 3分鐘閱讀
摘要
隨著亞洲誠信2016年推出加密無處不在以來,HTTPS的使用成本和技術門檻逐步降低,HTTPS正被越來越多的網站和企業使用。但是我們發現,進行正確的HTTPS配置和安全部署情況並不樂觀。此次分享主要向大家介紹HTTPS常見安全威脅以及如何部署安全的HTTPS服務。
嘉賓分享地址:t.cn/RoVF9H5
HTTPS行業動態
2014年到2015年,Google、Baidu等搜尋引擎優先收錄了HTTPS網站。
2015年,Baidu、Alibaba等國內大型網際網路公司陸續實現了全站HTTPS加密。
2016年,Apple強制實施ATS標準;微信小程式要求後臺通訊必須用HTTPS;美國、英國政府機構網站實現全站HTTPS;國家網路安全法規定,網路運營者需要保護其使用者資訊的安全,並明確了相關法律責任。
2017年,Chrome、Firefox將標示HTTPS站點不安全。
HTTP/2的主流實現都要求使用HTTPS。TLS1.3即將釋出,使HTTPS更快更安全。
HTTPS安全現狀
HTTPS的安全現狀仍是不容樂觀。
如何讓HTTPS更安全
證書選擇
首先要考慮證書品牌,看它的相容性、技術背景如何,口碑怎樣,佔有率是多少。
稽核型別根據稽核的強度分為了EV、OV、DV。商用站點最好是選擇EV、OV。
從證書功能上來看,又分為單域名、多域名和萬用字元。而一般情況下,多域名和萬用字元容易增加風險,所以在能滿足基本需求的情況下儘量選擇單域名。
常見的證書演算法有RSA、ECC等。ECC是目前更安全、效能更高的一種演算法。
優化配置
完善證書鏈,提升相容性。
啟用安全協議版本,棄用不安全協議版本。
選用安全效能好的套件組合,棄用一些有安全漏洞或加密強度不高的套件組合。
利用Session ID和Session Ticker實現會話恢復。
漏洞修復
通過調整加密協議、加密套件或升級SSL服務端等措施得到修復。
安全加固
HSTS:瀏覽器實現HTTPS強制跳轉,減少會話劫持風險。
HPKP:指定瀏覽器信任的公鑰,防止CA誤發證書而導致中間人攻擊。
CAA:通過DNS指定自己信任的CA,使CA避免誤發證書。
OCSPStapling:服務端SSL握手過程直接返回OCSP狀態,避免使用者向CA查詢,保護使用者隱私。
MySSL——HTTPS安全評估
HTTP安全概覽
HTTP配置建議
1、配置符合PFS規範的加密套件。
2、在服務端TLS協議中啟用TLS1.2。
3、保證當前域名與所使用的證書匹配。
4、保證證書在有效期內。
5、使用SHA-2簽名演算法的證書。
6、保證證書籤發機構是可信的CA機構。
7、HSTS的max-age需要大於15768000秒。
MySLL——HTTPS最佳安全實踐
我的分享到此結束,謝謝大家!