解密亞洲誠信如何做到HTTPS的最佳安全實踐

內容來源：2017年5月23日，亞洲誠信高級技術經理餘寧在“世界雲計算 · 中國站”進行《HTTPS最佳安全實踐》演講分享。IT大咖說作為獨家視頻合作方，經主辦方和講者審閱授權發布。

 閱讀字數：946  | 3分鍾閱讀

摘要

隨著亞洲誠信2016年推出加密無處不在以來，HTTPS的使用成本和技術門檻逐步降低，HTTPS正被越來越多的網站和企業使用。但是我們發現，進行正確的HTTPS配置和安全部署情況並不樂觀。此次分享主要向大家介紹HTTPS常見安全威脅以及如何部署安全的HTTPS服務。

HTTPS行業動態

2014年到2015年，Google、Baidu等搜索引擎優先收錄了HTTPS網站。

2015年，Baidu、Alibaba等國內大型互聯網公司陸續實現了全站HTTPS加密。

2016年，Apple強製實施ATS標準；微信小程序要求後台通信必須用HTTPS；美國、英國政府機構網站實現全站HTTPS；國家網絡安全法規定，網絡運營者需要保護其用戶信息的安全，並明確了相關法律責任。

2017年，Chrome、Firefox將標示HTTPS站點不安全。

HTTP/2的主流實現都要求使用HTTPS。TLS1.3即將發布，使HTTPS更快更安全。

HTTPS安全現狀

HTTPS的安全現狀仍是不容樂觀。

如何讓HTTPS更安全

證書選擇

首先要考慮證書品牌，看它的兼容性、技術背景如何，口碑怎樣，占有率是多少。

審核類型根據審核的強度分為了EV、OV、DV。商用站點最好是選擇EV、OV。

從證書功能上來看，又分為單域名、多域名和通配符。而一般情況下，多域名和通配符容易增加風險，所以在能滿足基本需求的情況下盡量選擇單域名。

常見的證書算法有RSA、ECC等。ECC是目前更安全、性能更高的一種算法。

優化配置

完善證書鏈，提升兼容性。

啟用安全協議版本，棄用不安全協議版本。

選用安全性能好的套件組合，棄用一些有安全漏洞或加密強度不高的套件組合。

利用Session ID和Session Ticker實現會話恢複。

漏洞修複

通過調整加密協議、加密套件或升級SSL服務端等措施得到修複。

安全加固

HSTS：瀏覽器實現HTTPS強製跳轉，減少會話劫持風險。

HPKP：指定瀏覽器信任的公鑰，防止CA誤發證書而導致中間人攻擊。

CAA：通過DNS指定自己信任的CA，使CA避免誤發證書。

OCSPStapling：服務端SSL握手過程直接返回OCSP狀態，避免用戶向CA查詢，保護用戶隱私。

MySSL——HTTPS安全評估

HTTP安全概覽

HTTP配置建議

1、配置符合PFS規範的加密套件。

2、在服務端TLS協議中啟用TLS1.2。

3、保證當前域名與所使用的證書匹配。

4、保證證書在有效期內。

5、使用SHA-2簽名算法的證書。

6、保證證書簽發機構是可信的CA機構。

7、HSTS的max-age需要大於15768000秒。

MySSL——HTTPS最佳安全實踐

我的分享到此結束，謝謝大家！

相關推薦

推薦文章

• 百度外賣如何做到前端開發配置化
  

• 阿裏巴巴前端專家渚薰：H5互動的正確打開方式
  

近期活動

• 直播 | 2017紅象雲騰大數據基礎軟件V5.0發布暨合作夥伴大會
  

點擊【www.itdks.com】進入幹貨密道