转载

如何快速上线全站 HTTPS

年底了,很多事情都要收尾了,听说互联网行业各大公司正在如火如荼地升级 HTTPS,那现在 HTTPS 上线是个什么情况?

各大公司都在上线全站 HTTPS

《Google透明度报告:各大热门网站的HTTPS使用情况》

( https://www.google.com/transp... )显示:已经有34家热门网站默认使用HTTPS。

如何快速上线全站 HTTPS

另有9家热门网站使用HTTPS:

如何快速上线全站 HTTPS

通过HTTPS加载的网页所占的百分比如下图:

如何快速上线全站 HTTPS

其实早在2014年,谷歌就宣布将把 HTTPS 作为影响搜索排名的重要因素,并优先索引HTTPS网页。

上面的图表显示了在发送到 Google 服务器的请求中,使用加密连接的百分比,使用趋势始终保持上升势头。

除了 Google,Apple 也在不遗余力地推动 HTTPS 的上线工作,Firefox、Safari、Opera、MS Edge 都要求使用 HTTPS加密连接。

如何快速上线全站 HTTPS

上述都是国外 HTTPS 推进情况。至于国内,百度作为首家推动 HTTPS 的互联网公司,曾公告表明,开放收录 HTTPS 站点,同一个域名的HTTP版和HTTPS版为一个站点,优先收录HTTPS版,并于 2015 年的 6 月上线HTTPS。

当然,除了百度,国内 CDN 服务商也不落后,百度刚上线 HTTPS 没多久,国内对这块并没有很大重视,甚至连阿里都还没上线HTTPS时,又拍云就提供了全站HTTPS加速服务,算是国内首推自定义HTTPS加速服务的CDN厂商了。

到目前为止,阿里、淘宝(包括天猫)、豆瓣、知乎、虎嗅、京东、亚马逊等也逐渐成功上线 HTTPS。

放眼国内外,互联网巨头们纷纷步入HTTPS上线之旅,这和HTTP自身使用明文传输的密钥和口令很容易被拦截的局限性分不开。互联网+时代不断发展,联网设备日益激增,随之而来的互联网访问安全性愈加不容乐观。据市场研究机构预测,到 2020年全球联网设备数量将突破330亿台(3 倍于当前数量),保障安全高效的互联网数据传输的刚性需求迫在眉睫,部署HTTPS不得不成为各大互联网公司考虑的头等大事了。

上线全站 HTTPS 方案

大公司都已经着手上线 HTTPS,还没部署 HTTPS 的公司们该心急如焚了吧,那应该如何部署全站 HTTPS?

方案一:自己后台开发部署

HTTPS 其实是由两部分组成:HTTP+SSL/TLS,也就是在 HTTP 上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密,所以传输的数据都是加密后的数据。HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。它提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯。

如何快速上线全站 HTTPS

看上去就是加了一层处理加密信息的模块,但是自己部署 HTTPS 要做的事情就很多了,还容易忽略一些坑,需不时更新,这里就简单说一下部署HTTPS需要注意优化的点:

  1. HTTPS 访问速度优化:可以从Tcp fast open、HSTS、Session resume、Ocsp stapling、False start、使用 SPDY 或者 HTTP2入手。

  2. HTTPS 计算性能优化:可以优先使用ECC,使用最新版的openssl,另外要注意硬件加速方案,现在比较常用的TLS硬件加速方案主要有两种:SSL专用加速卡和GPU SSL加速,最后就是TLS远程代理计算了。

  3. HTTPS 安全配置:这里就要注意协议版本选择和加密套件选择,以及 HTTPS 防攻击,HTTPS 防攻击包括防止协议降级攻击和防止重新协商攻击。

除了注意这些需要优化的点,想要签署第三方可信任的 SSL 证书却不容易,小拍之前有整理过一些证书资料哦~( 点我看推荐证书 ),当然最让人头疼的是有五大技术难点!

  • HSTS。即使将一个 HTTP 网站升级为 HTTPS 网站,但是在浏览器中键入以 www 为开头的网址时,网页并不会自动跳转为HTTPS网站,因为浏览器默认打开http网站,基于此,就需要对HTTP的访问在服务器端做301、302或307重定向,使之跳转到 HTTPS 网站,让人头疼的是使用301、302跳转时,只要修改 location 指令,网站就会被劫持。对此,国际互联网工程组织IETE推行了一种新的web安全协议:HSTS,即307跳转。

  • HTTP/2.0。HTTP/2.0即超文本传输协议2.0,是 HTTP 协议的升级版。由互联网工程任务组的 Hypertext Transfer Protocol Bis工作小组进行开发,以SPDY为原型,经过两年多的讨论和完善最终确定。

  • OSCP stapling。在 HTTPS 通信过程时,浏览器会去验证服务器端下发的证书链是否已经被撤销。验证的方法有两种:CRL和OCSP。但是这两种方法都有不足,OCSP Stapling技术则是对OCSP不足的弥补。

  • session ID。Session ID是一种在网络通信中使用(通常在一块数据的 HTTP)来识别一个会话,具有一系列相关的信息交流。SessionID属性用于唯一地标识在服务器上包含会话数据的浏览器。

  • SNI技术。SNI 定义在 RFC 4366,是一项用于改善 SSL/TLS 的技术,在 SSLv3/TLSv1 中被启用。它允许客户端在发起SSL握手请求时就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

方案二:借助 CDN 服务上线全站 HTTPS

想要部署 HTTPS,但是 SSL 证书找不好,还很费软妹币;技术难点也不过关,踩过的坑更是一个接一个……眼看不能排除万难高枕无忧,那么最好的办法就是交给别人来做了。

现在国内提供部署 HTTPS 的服务商还是有不少的,但是选哪一家服务商呢?小拍作为国内首推自定义 HTTPS 加速服务的CDN厂商,只想在这里自夸一番。

又拍云 HTTPS 加速服务使 HTTPS 和 CDN 有效结合,力求让 HTTPS 部署更简单、快捷,让客户享受更安全的加速服务。

迎接无限访问,又拍云助力全网加速;

抛开技术包袱,又拍云全新自主配置后台;

节约创业成本,又拍云全球 CDN 节点一起用;

升级 HTTPS,又拍云一站式服务安全、加速两不误。

说了这么多,还不抓住年底的尾巴迅速升级 HTTPS,如此才能保你2017网站访问安全无忧哦~

又拍云正在进行“充值即赠”活动,2017年,对自己好一点:

如何快速上线全站 HTTPS

畅享“充值即赠10%”!充值越多,赠送越多!

原文  https://segmentfault.com/a/1190000007798343
正文到此结束
Loading...