據外國媒體VentureBeat報道，谷歌宣布自今年7月起，Chrome瀏覽器的地址欄將把所有HTTP標示為“不安全”網站。這已經是谷歌瀏覽器針對HTTP網站開戰(zhàn)的第三步棋。據相關最新消息，Firefox也準備把所有HTTP站點標示“不安全”。與此同時，蘋果自iOS9始引入新特性App Transport Security (ATS)，要求App內訪問的網絡必須使用HTTPS協議。

將于今年7月發(fā)布的Chrome 68會在地址欄中顯示如下：

對于這一變化，谷歌解釋道：

Chrome新界面將幫助用戶了解所有的HTTP網站都是不安全的，從而采用安全的HTTPS網站。HTTPS比以往任何時候都更便利、更便宜，它帶來了性能提升和強大的新功能，這些都是HTTP所沒有的。

Chrome目前以黑色字體標示“不安全”字樣，最終谷歌會把“不安全”標為紅色，并在旁邊添加表示警告的紅圖標，為的是進一步強調HTTP網站不應被信任。

而在剛剛發(fā)布更新的iOS 11.3中，蘋果率先應用了這一策略，正式將某些HTTP頁面標記為“不安全”（如含密碼或信用卡信息傳輸的HTTP頁面）。蘋果未來計劃將所有HTTP頁面都標為不安全，讓用戶更加安全的瀏覽站點。

為什么科技大佬們紛紛拋棄

這個服務了近二十年的HTTP協議呢？

用戶隱私數據價值越來越高

隱私數據保護問題突出

HTTPS解決方案終極目標

現在，大部分網站登錄頁面雖然已上線了HTTPS，但其他主頁面依舊是HTTP。

非敏感內容真的不需要HTTPS？

其實不然。

非 HTTPS 網站很容易被劫持并插入廣告，影響用戶體驗；

即使網站上沒有交易支付等敏感功能，但只要有用戶登錄，帳號密碼被第三方盜取也可以用來社工或撞庫；

大流量站點，如果不部署 HTTPS 很容易被攻擊者利用，劫持頁面內容，實施頁面惡意代碼攻擊；

從HTTP跳轉HTTPS，可能存在用戶被劫持的風險，攻擊者仍然有機可乘。

那么，

實施全站HTTPS前需考慮哪些問題？

頁面混合資源處理

HTTPS 網頁中加載的HTTP 資源被稱之為Mixed Content（混合內容），為了最好的用戶體驗，HTTPS網站不要出現任何Mixed Content，并且不要往HTTP頁面提交表單。

如果網站本身只用一個域名進行資源加載，可使用單域名證書即可滿足SSL服務（不推薦只用一個域名，建議做域名分拆）；如果網站本身已經做了域名分拆，可選用泛域名的通配型證書滿足SSL服務。

在頁面中加載資源時，使用相對路徑，或省略協議部分的路徑。

例如：

<imgsrc=“//domain.com/static/img/logo.gif”>

或 <imgsrc=“static/img/logo.gif”>

表單提交時，不使用http路徑。

<form action="https://domain.com"></form>

服務端開啟upgrade-insecure-requests，支持新型瀏覽器自動替換資源路徑。

較新版本的瀏覽器，均支持upgrade-insecure-requests。當服務器配置該支持時，瀏覽器將自動替換使用HTTPS方式加載所需的資源文件。

SSL協議版本及加密套件選擇

SSL/TLS協議包含 SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2 五個版本�？蛻舳思嫒菪許SL2.0、SSL3.0、TLS1.0均包含安全問題，不推薦使用。

IE6默認只支持SSLv2和SSLv3，網站要支持IE6，必須啟用SSLv3。

IE7、Java1.6及之前版本、Android4.3及之前版本，必須啟用TLSv1。

如果客戶端支持的CipherSuite列表與服務端配置的CipherSuite列表沒有交集，將導致無法完成協商，SSL握手失敗。加密套件安全性合理高效的SSL證書配置，需掌握服務端CipherSuite的支持情況，合理優(yōu)化開放的CipherSuite。動態(tài)評估安全性與兼容性，最終確定CipherSuite的配置方案。

HTTPS漏洞檢測及報告

關注SSL/TLS安全動態(tài)，定期對網站SSL部署進行安全評估。通過對WebServer的版本更新、SSL/TLS協議版本的控制、CipherSuite的優(yōu)化配置，避免服務器遭受高危漏洞的安全威脅。

HTTPS漏洞檢測及報告服務：

完成證書安裝配置后，使用Symantec的安裝配置檢查工具確認網站SSL證書部署情況。

定期通過SSL Labs等，SSL證書部署專業(yè)評估機構提供的工具，對網站證書部署進行掃描評估。

證書密鑰管理

嚴格管理證書私鑰，防止未經授權的密鑰訪問；

定期更換證書密鑰對，并吊銷可能存在安全隱患的證書；

采用合理的分布式部署方案，降低密鑰泄露風險；

靈活使用不同密鑰算法證書，啟用新型安全密鑰算法。

服務器性能影響

HTTPS增加了TLS握手環(huán)節(jié)，數據傳輸需使用對稱加密算法加密，啟用全站HTTPS將影響服務器性能。對服務器性能的影響，主要體現在TLS握手環(huán)節(jié)。服務器TLS握手環(huán)節(jié)，通常性能會下降6-8倍左右。 

問題來了，

全站HTTPS性能優(yōu)化有哪些解決方法？

服務器性能及架構優(yōu)化

全站HTTPS無疑為服務器增加額外的系統(tǒng)資源開銷，特別是TLS握手環(huán)節(jié)。

在確定的網絡架構下，評估SSL證書的安裝部署位置十分重要。SSL證書的部署位置，將直接決定HTTPS性能優(yōu)化需要采用的方案。

承載TLS握手環(huán)節(jié)的壓力，主要消耗服務器的CPU資源。不同系統(tǒng)環(huán)境下，通常需要通過壓力測試環(huán)節(jié)，基于一手測試數據，制定合理的優(yōu)化方案。

常用優(yōu)化方案：

升級服務器CPU

針對服務器CPU型號，采用線程優(yōu)化、算法優(yōu)化等方式提升處理效率。

合理優(yōu)化網絡架構，配置負載策略，分散服務器壓力。

域名對訪問速度的影響具有兩面性：域名多，域名解析和建立連接的時間就多；域名少，下載并發(fā)度又不夠。

將域名限制在有限的范圍，維持和這些域名的連接，可平衡訪問速度和性能消耗的需求。

參考網絡架構選擇合適的SSL證書產品，降低服務器系統(tǒng)資源開銷，并保障站點的可擴展性。

SSL卸載

將服務器所需要承擔的SSL壓力轉移到其他前端設備或服務之上，即SSL卸載。

SSL卸載常用方案：

硬件SSL卸載

使用專業(yè)的負載均衡設備，并依賴設備自身的SSL卸載卡處理SSL/TLS請求�；蛑苯訛榉�務器安裝PIC-E硬件SSL卸載卡。

SSL軟負載

使用Web前端代理軟件，通過高效的前端代理處理SSL/TLS請求，不改變原AppServer運行環(huán)境。

CDN服務

自建，或使用第三方CDN服務，降低服務器系統(tǒng)資源開銷。

配置優(yōu)化方案

在既定的全站HTTPS方案下，使用配置優(yōu)化方式不增加方案成本的提升站點HTTPS性能，無疑是當下最能體現HTTPS服務價值的服務手段。

SSL性能優(yōu)化常用方案：

注：配置優(yōu)化方案涉及到前端Server對HTTPS新技術的支持情況及詳細的參數設置，更多內容可參考天下數據相關技術服務文檔。

本文鏈接：http://m.51huadong.com/cloundnews/11001888.html