HTTPS最佳安全实践

内容来源：2017年5月23日，亚洲诚信高级技术经理余宁在“世界云计算 · 中国站”进行《HTTPS最佳安全实践》演讲分享。IT大咖说做为独家视频合做方，经主办方和讲者审阅受权发布。
阅读字数 ：946 | 3分钟阅读

摘要

随着亚洲诚信2016年推出加密无处不在以来，HTTPS的使用成本和技术门槛逐步下降，HTTPS正被愈来愈多的网站和企业使用。可是咱们发现，进行正确的HTTPS配置和安所有署状况并不乐观。这次分享主要向你们介绍HTTPS常见安全威胁以及如何部署安全的HTTPS服务。

嘉宾分享地址：t.cn/RoVF9H5

HTTPS行业动态

2014年到2015年，Google、Baidu等搜索引擎优先收录了HTTPS网站。

2015年，Baidu、Alibaba等国内大型互联网公司陆续实现了全站HTTPS加密。

2016年，Apple强制实施ATS标准；微信小程序要求后台通讯必须用HTTPS；美国、英国政府机构网站实现全站HTTPS；国家网络安全法规定，网络运营者须要保护其用户信息的安全，并明确了相关法律责任。

2017年，Chrome、Firefox将标示HTTPS站点不安全。

HTTP/2的主流实现都要求使用HTTPS。TLS1.3即将发布，使HTTPS更快更安全。

HTTPS安全现状

HTTPS的安全现状还是不容乐观。

如何让HTTPS更安全

证书选择

首先要考虑证书品牌，看它的兼容性、技术背景如何，口碑怎样，占有率是多少。

审核类型根据审核的强度分为了EV、OV、DV。商用站点最好是选择EV、OV。

从证书功能上来看，又分为单域名、多域名和通配符。而通常状况下，多域名和通配符容易增长风险，因此在能知足基本需求的状况下尽可能选择单域名。

常见的证书算法有RSA、ECC等。ECC是目前更安全、性能更高的一种算法。

优化配置

完善证书链，提高兼容性。

启用安全协议版本，弃用不安全协议版本。

选用安全性能好的套件组合，弃用一些有安全漏洞或加密强度不高的套件组合。

利用Session ID和Session Ticker实现会话恢复。

漏洞修复

经过调整加密协议、加密套件或升级SSL服务端等措施获得修复。

安全加固

HSTS：浏览器实现HTTPS强制跳转，减小会话劫持风险。

HPKP：指定浏览器信任的公钥，防止CA误发证书而致使中间人攻击。

CAA：经过DNS指定本身信任的CA，使CA避免误发证书。

OCSPStapling：服务端SSL握手过程直接返回OCSP状态，避免用户向CA查询，保护用户隐私。

MySSL——HTTPS安全评估

HTTP安全概览

HTTP配置建议

一、配置符合PFS规范的加密套件。

二、在服务端TLS协议中启用TLS1.2。

三、保证当前域名与所使用的证书匹配。

四、保证证书在有效期内。

五、使用SHA-2签名算法的证书。

六、保证证书签发机构是可信的CA机构。

七、HSTS的max-age须要大于15768000秒。

MySLL——HTTPS最佳安全实践

个人分享到此结束，谢谢你们！

推荐文章

• 百度外卖如何作到前端开发配置化
  

• 阿里巴巴前端专家渚薰：H5互动的正确打开方式