内容来源:2017年5月23日,亚洲诚信高级技术经理余宁在“世界云计算 · 中国站”进行《HTTPS最佳安全实践》演讲分享。IT大咖说作为独家视频合作方,经主办方和讲者审阅授权发布。

 阅读字数:946  | 3分钟阅读

摘要

随着亚洲诚信2016年推出加密无处不在以来,HTTPS的使用成本和技术门槛逐步降低,HTTPS正被越来越多的网站和企业使用。但是我们发现,进行正确的HTTPS配置和安全部署情况并不乐观。此次分享主要向大家介绍HTTPS常见安全威胁以及如何部署安全的HTTPS服务。

HTTPS行业动态

2014年到2015年,Google、Baidu等搜索引擎优先收录了HTTPS网站。

2015年,Baidu、Alibaba等国内大型互联网公司陆续实现了全站HTTPS加密。

2016年,Apple强制实施ATS标准;微信小程序要求后台通信必须用HTTPS;美国、英国政府机构网站实现全站HTTPS;国家网络安全法规定,网络运营者需要保护其用户信息的安全,并明确了相关法律责任。

2017年,Chrome、Firefox将标示HTTPS站点不安全。

HTTP/2的主流实现都要求使用HTTPS。TLS1.3即将发布,使HTTPS更快更安全。

HTTPS安全现状

HTTPS的安全现状仍是不容乐观。

如何让HTTPS更安全


证书选择

首先要考虑证书品牌,看它的兼容性、技术背景如何,口碑怎样,占有率是多少。

审核类型根据审核的强度分为了EV、OV、DV。商用站点最好是选择EV、OV。

从证书功能上来看,又分为单域名、多域名和通配符。而一般情况下,多域名和通配符容易增加风险,所以在能满足基本需求的情况下尽量选择单域名。

常见的证书算法有RSA、ECC等。ECC是目前更安全、性能更高的一种算法。

优化配置

完善证书链,提升兼容性。

启用安全协议版本,弃用不安全协议版本。

选用安全性能好的套件组合,弃用一些有安全漏洞或加密强度不高的套件组合。

利用Session ID和Session Ticker实现会话恢复。

漏洞修复

通过调整加密协议、加密套件或升级SSL服务端等措施得到修复。

安全加固

HSTS:浏览器实现HTTPS强制跳转,减少会话劫持风险。

HPKP:指定浏览器信任的公钥,防止CA误发证书而导致中间人攻击。

CAA:通过DNS指定自己信任的CA,使CA避免误发证书。

OCSPStapling:服务端SSL握手过程直接返回OCSP状态,避免用户向CA查询,保护用户隐私。

MySSL——HTTPS安全评估


HTTP安全概览

HTTP配置建议

1、配置符合PFS规范的加密套件。

2、在服务端TLS协议中启用TLS1.2。

3、保证当前域名与所使用的证书匹配。

4、保证证书在有效期内。

5、使用SHA-2签名算法的证书。

6、保证证书签发机构是可信的CA机构。

7、HSTS的max-age需要大于15768000秒。

MySSL——HTTPS最佳安全实践

我的分享到此结束,谢谢大家!

相关推荐

推荐文章

  • 百度外卖如何做到前端开发配置化

  • 阿里巴巴前端专家渚薰:H5互动的正确打开方式

近期活动

  • 直播 | 2017红象云腾大数据基础软件V5.0发布暨合作伙伴大会

点击【www.itdks.com】进入干货密道

解密亚洲诚信如何做到HTTPS的最佳安全实践相关推荐

  1. HTTP要被抛弃? 亚洲诚信携手宝塔开启HTTPS加密快速通道

    2019独角兽企业重金招聘Python工程师标准>>> 推动全球网站的HTTPS化意义深远,亚洲诚信与国内知名服务器控制面板厂商"宝塔"(www.bt.cn)达成 ...

  2. 硬核 | 亚洲诚信@FreeBuf企业安全俱乐部,实力诠释“S/MIME可信企业安全邮件解决方案”...

    2019独角兽企业重金招聘Python工程师标准>>> 想知道如何应对防不胜防的网络安全威胁? 想知道如何建立有效的企业安全建设方案? 想知道业内大咖 如何分析未来的数据治理态势吗? ...

  3. 【抢鲜剧透】华为云亚洲诚信企业安全俱乐部—上海站

    2019独角兽企业重金招聘Python工程师标准>>> 近年来,企业安全事件频发并有增长之势,给企业和用户造成巨大损失.安全,不仅是企业经营的基础,也是国家对企业的法律要求. 为推动 ...

  4. 亚洲诚信联合又拍云升级云端SSL证书服务

    随着云计算技术的飞速发展,越来越多的信息通过云端传输,围绕着云计算的网络安全环境要求也日益提高.企业网站,尤其涉及用户的员工.合作伙伴.客户.知识产权.品牌等重要信息的网站,时刻面临着被网络***的潜 ...

  5. 亚洲诚信亮相2018天翼智能生态博览会

    9月13日,第十届ESE天翼智能生态博览会在广州广交会展馆正式拉开帷幕.作为全球最重要的通信展会之一,此次博览会以"共赢智能新时代"为主题,将众人目光聚焦于智能科技.智能生态等领域 ...

  6. 解决方案 | 亚洲诚信助力互联网行业网络安全建设

    行业背景 当前,世界正处在从工业经济向数字经济转型过渡的大变革时代,互联网作为工业社会向数字时代迁移的驱动力,是推进新一轮科技革命与产业变革的中坚力量. 随着数字化进程的加剧,企业所面临的网络安全形势 ...

  7. 亚洲诚信助力看雪安全开发者峰会

    2019独角兽企业重金招聘Python工程师标准>>> 11月的北京,寒风初上.泠冽的空气中,透露着北京这座古都的庄严.2017看雪安全开发者峰会就在北京悠唐皇冠假日酒店举行. 来自 ...

  8. 【免费报名】亚洲诚信看雪学院:“走进企业看安全”技术分享沙龙等你来侃~...

    看雪学院<走近企业看安全>系列活动,秉承以技术交流为主线的主旨,通过纯技术类交流,为企业与安全人士搭建起一个技术分享.交流的平台. 前期系列活动,带领大家走进知道创宇.百度.360.微软. ...

  9. 如何免费申请亚洲诚信TrustAsia通配符证书并部署到宝塔面板

    SSL 证书是用于在 Web 服务器与浏览器以及客户端之间建立加密链接的加密技术,通过配置和应用 SSL 证书来启用 HTTPS 协议,来保证互联网数据传输的安全,全球每天有数以亿计的网站都是通过 H ...

最新文章

  1. linux 分析磁盘性能,03.分析性能瓶颈 - 3.4.磁盘瓶颈 - 《Linux性能调优指南》 - 书栈网 · BookStack...
  2. 判断是否为ajax请求
  3. (28)css3 3D转换
  4. python实例属性与类属性_Python类属性与实例属性用法分析
  5. SAP NetWeaver 平台介绍
  6. 【Ajax】PHP中ajax的基本知识点
  7. 《强化学习》中的第10章:基于函数逼近的同轨策略控制
  8. GIS中的基本概念收集
  9. Ubuntu 20.04 国内源
  10. qq for android 1.0,QQ for Pad 1.0正式发布 Android专版
  11. 系统辨识(四):系统辨识的经典方法
  12. c语言循环接收按键,C语言中,如何用键盘输入来退出循环
  13. 【附源码】计算机毕业设计SSM汽车租赁系统
  14. Mac安装Etcd,配置Etcd可视化页面Etcd Browser
  15. 2019保定中考计算机时间安排,2019年保定中考考试时间安排,保定中考考试科目时间安排表...
  16. java利用递归画杨辉三角_递归实现杨辉三角
  17. 为什么程序员应该写博客?用什么博客系统?
  18. mysql like 原理_MySql原理
  19. 如何给刚刚出厂的服务器配置IP地址(华为RH2288 v3)
  20. uClinux移植概述

热门文章

  1. UA MATH ECE636 信息论10 Non-adaptive Group Testing
  2. matlab生成实指数序列、matlab茎状图
  3. 图解opengl 3D 图形绘制实例
  4. SpringBoot入门和配置
  5. HTML5实现屏幕手势解锁(转载)
  6. React 入门之路
  7. Solr嵌套子文档的弊端以及一种替代方式
  8. Android -- isInEditMode
  9. linux cat 命令详解
  10. 悬浮框_纯HTML实现某宝优惠券、商品列表和活动悬浮等布局(文末有源码)