聊聊全站HTTPS带来的技术挑战
日前寫(xiě)的文章里了討論了數(shù)據(jù)傳輸?shù)陌踩缘膯?wèn)題,最后一部分提到了通過(guò)HTTPS解決數(shù)據(jù)傳輸安全性的方案。那么一個(gè)新問(wèn)題又來(lái)了,實(shí)施全站HTTPS的過(guò)程中,我們可能會(huì)遇到哪些技術(shù)問(wèn)題?所以我今天和大家一起來(lái)算一下這個(gè)賬,將技術(shù)成本理清楚。
準(zhǔn)備工作
CDN 使用 https 常見(jiàn)的方案有:
性能方面的挑戰(zhàn)
做好以上的技術(shù)準(zhǔn)備后,我們還必須意識(shí)到實(shí)施HTTPS后帶來(lái)的性能問(wèn)題:
1.網(wǎng)絡(luò)耗時(shí)增加,簡(jiǎn)單來(lái)說(shuō)需要多幾次握手,網(wǎng)絡(luò)耗時(shí)變長(zhǎng),用戶(hù)從http跳轉(zhuǎn)到https還要一點(diǎn)時(shí)間。
對(duì)于這一塊的優(yōu)化,有Session ticket或者Session Cache等優(yōu)化方案,不過(guò)也是各有優(yōu)缺點(diǎn)。
2.計(jì)算耗時(shí)增加,需要更好機(jī)器性能,https要多做一次RSA校驗(yàn)。
對(duì)于這一塊的優(yōu)化,主要的方式是采用最新的openssl協(xié)議,使用硬件加速,優(yōu)先使用ECC密鑰等等。
安全方面的挑戰(zhàn)
關(guān)于這一塊,常見(jiàn)的安全隱患包含:降級(jí)攻擊和重新協(xié)商攻擊。
對(duì)于前者,攻擊者偽造或者修改"client hello "消息,使得客戶(hù)端和服務(wù)器之間使用比較弱的加密套件或者協(xié)議完成通信。對(duì)于重新協(xié)商攻擊,是攻擊者利用協(xié)商后安全算法偏弱,試圖竊取傳輸內(nèi)容,并且可以 不斷發(fā)起完全握手請(qǐng)求,觸發(fā)服務(wù)端進(jìn)行高強(qiáng)度計(jì)算并引發(fā)服務(wù)拒絕。
當(dāng)然,這一塊,在基礎(chǔ)廠(chǎng)商或者云產(chǎn)商的努力下,對(duì)于我們一般的業(yè)務(wù)用戶(hù),幾乎不用關(guān)心協(xié)議層上面安全的問(wèn)題。我在這里提出的目的,還是想說(shuō)明一點(diǎn),安全問(wèn)題一直都不能放松。
最后一點(diǎn)總結(jié)
切換成HTTPS是必然趨勢(shì),相信會(huì)有越來(lái)越多的站點(diǎn)加入進(jìn)來(lái),而且完成后,它能給我們帶來(lái)的收益是巨大的。對(duì)于我們技術(shù)團(tuán)隊(duì)而言,在實(shí)行之前,一定要考慮清楚它背后的技術(shù)成本,并做好對(duì)應(yīng)的技術(shù)儲(chǔ)備,做好HTTP切換為HTTPS的上線(xiàn)流程,確保萬(wàn)無(wú)一失。 ?
原文發(fā)布時(shí)間為:2017-10-09?
本文作者:佚名
本文來(lái)自云棲社區(qū)合作伙伴“51CTO”,了解相關(guān)信息可以關(guān)注。
總結(jié)
以上是生活随笔為你收集整理的聊聊全站HTTPS带来的技术挑战的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: ansible: Linux批量管理神器
- 下一篇: linux 高性能读书笔记之通用sock