HTTPS最佳安全實踐
來自專欄 IT大咖說
內容來源:2017年5月23日,亞洲誠信高級技術經理余寧在「世界雲計算 · 中國站」進行《HTTPS最佳安全實踐》演講分享。IT大咖說作為獨家視頻合作方,經主辦方和講者審閱授權發布。
閱讀字數:946 | 3分鐘閱讀
嘉賓演講視頻回顧及PPT:http://suo.im/4WPvwD
摘要
隨著亞洲誠信2016年推出加密無處不在以來,HTTPS的使用成本和技術門檻逐步降低,HTTPS正被越來越多的網站和企業使用。但是我們發現,進行正確的HTTPS配置和安全部署情況並不樂觀。此次分享主要向大家介紹HTTPS常見安全威脅以及如何部署安全的HTTPS服務。
HTTPS行業動態
2014年到2015年,Google、Baidu等搜索引擎優先收錄了HTTPS網站。
2015年,Baidu、Alibaba等國內大型互聯網公司陸續實現了全站HTTPS加密。
2016年,Apple強制實施ATS標準;微信小程序要求後台通信必須用HTTPS;美國、英國政府機構網站實現全站HTTPS;國家網路安全法規定,網路運營者需要保護其用戶信息的安全,並明確了相關法律責任。
2017年,Chrome、Firefox將標示HTTPS站點不安全。
HTTP/2的主流實現都要求使用HTTPS。TLS1.3即將發布,使HTTPS更快更安全。
HTTPS安全現狀
HTTPS的安全現狀仍是不容樂觀。
如何讓HTTPS更安全
證書選擇
首先要考慮證書品牌,看它的兼容性、技術背景如何,口碑怎樣,佔有率是多少。
審核類型根據審核的強度分為了EV、OV、DV。商用站點最好是選擇EV、OV。
從證書功能上來看,又分為單域名、多域名和通配符。而一般情況下,多域名和通配符容易增加風險,所以在能滿足基本需求的情況下盡量選擇單域名。
常見的證書演算法有RSA、ECC等。ECC是目前更安全、性能更高的一種演算法。
優化配置
完善證書鏈,提升兼容性。
啟用安全協議版本,棄用不安全協議版本。
選用安全性能好的套件組合,棄用一些有安全漏洞或加密強度不高的套件組合。
利用Session ID和Session Ticker實現會話恢復。
漏洞修復
通過調整加密協議、加密套件或升級SSL服務端等措施得到修復。
安全加固
HSTS:瀏覽器實現HTTPS強制跳轉,減少會話劫持風險。
HPKP:指定瀏覽器信任的公鑰,防止CA誤發證書而導致中間人攻擊。
CAA:通過DNS指定自己信任的CA,使CA避免誤發證書。
OCSPStapling:服務端SSL握手過程直接返回OCSP狀態,避免用戶向CA查詢,保護用戶隱私。
MySSL——HTTPS安全評估
HTTP安全概覽
HTTP配置建議
1、配置符合PFS規範的加密套件。
2、在服務端TLS協議中啟用TLS1.2。
3、保證當前域名與所使用的證書匹配。
4、保證證書在有效期內。
5、使用SHA-2簽名演算法的證書。
6、保證證書籤發機構是可信的CA機構。
7、HSTS的max-age需要大於15768000秒。
MySSL——HTTPS最佳安全實踐
我的分享到此結束,謝謝大家!
推薦閱讀:
※Python3學習系列(四):編寫屬於自己的郵件偽造工具
※網路安全市場前景無限 行業精英築巢引鳳突圍家鄉市場
※信息泄露防不勝防 黑客能用電線順走你數據
※數據安全(對於時下與數據安全的熱點新聞及諮詢類的討論較多,故論壇文以熱點新聞為入口點)
※Linux,netstat