全站 HTTPS应该如何规划、部署、优化?
发布时间 : 2019-11-06 14:25 浏览量 : 14

    2015 年阿里天猫、淘宝支持全站 HTTPS,并经历了两次双十一的洗礼,稳定的支撑了天量的交易。在此之前,百度的搜索也启用了 HTTPS。HTTPS 最直接的优势就是避免页面劫持。当然,随着各大主流浏览器对 HTTP/2 的支持,以及未来会将 HTTP 网站标记为不安全的等诸多因素,网站 HTTPS 是一个必然的趋势。小编就全站HTTPS的规划、部署和优化的有关问题在网上做了相关调查,现将优秀评论整理如下,供大家参考讨论。全站 HTTPS——如何规划、部署、优化?

    讨论话题:

    1. 网站改造 HTTPS 过程中跳过的坑或者要注意的问题2. 影响甚至导致无法全站 HTTPS 的痛点或者障碍3. 证书申请以及私钥管理上的一些注意事项4. 部署 HTTPS 后,优化手段、遇到的问题以及解决方法5. 负载均衡下或者 CDN 中部署 HTTPS 的一些经验精彩回复:

    网站改造 HTTPS 过程中跳过的坑或者要注意的问题ssl卸载消耗比较大的cpu,对于常用的nginx反向代理来说,启用了https后每秒请求处理能力会降低了很多(本人测试过大概10分之1,不保证正确度)。因此如果原来能够支撑住网站的服务就进行操作比较大的扩容了。另外就是安全以及协议、加密算法的选择。安全上来说要尽量用比较新的openssl library,协议来说一般用tls了,原来的sslv1/2/3基本都不太安全了...最后加密算法主要在于看浏览器支持,基于安全的需要选择适当的算法。

    2.影响甚至导致无法全站 HTTPS 的痛点或者障碍全站https就要求了引用的资源也必须https。万一这些资源没有https怎么办,只能见一个搞一个。

微信截图_20190604115039

    3. 证书申请以及私钥管理上的一些注意事项

    私钥要保管好,只对涉及的运维人员放开。不要通过qq、邮箱这种方式传,万一泄漏了就完了。即使传也要加密,加密密码通过电话或者其他方式传。

    4. 部署 HTTPS 后,优化手段、遇到的问题以及解决方法最近碰到的麻烦是chrome 53版本对赛门铁克证书必须要求ct的事情..无能为力,黑天鹅5. 负载均衡下或者 CDN 中部署 HTTPS 的一些经验做好了网站的动静分离后,静态元素放在单独的域名下。对于cdn这种资源,因为在前端也要部署https证书,应该申请独立的域名,即使泄漏了也无关紧要,毕竟只是静态资源。

    网站改造 HTTPS 过程中跳过的坑或者要注意的问题以前改造的时候直接去网上复制了一段HTTPS的nginx配置文件,发现部分浏览器正常,对于新的火狐或者谷歌浏览器,居然访问报错出问题的配置部分,怎么看都是语法正确的ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    复制代码

    火狐会给出下面的提示

    SSL decrypt error during SSL handshake

    chrome直接不给提示,站点不可访问

    原因居然是加密选择过弱,需要下面的配置才能正常工作,因此正确的选择 加密套件 非常重要ssl_protocols SSLv3 TLSv1;复制代码

    站点更换成HTTPS之后发现性能下降,uptime查看负载的确高不少,最后升级了带宽2.影响甚至导致无法全站 HTTPS 的痛点或者障碍HTTPS是无法被缓存的,这个是痛点,对于无关紧要的静态资源来说静态化必要性不大,而且开销过大,很划不来。HTTPS引用的资源要求是https否则现代浏览器都会警告报错3.证书申请以及私钥管理上的一些注意事项证书需要放置到服务器上,私钥当然要尽量做到保密,管理员小心的备份私钥。申请证书当时用的沃通的服务,现在沃通的部分证书暂时不被苹果、谷歌、火狐他们接受,这也是个问题。因此还是要考虑选择靠谱点的证书服务商。

    保存的话压缩加密备份,发送到邮箱备份还是很靠谱的,不容易出现丢失现象。

    4.部署 HTTPS 后,优化手段、遇到的问题以及解决方法使用的证书是等级较低的,证书链不完整的话,会被当非法站点 。。。 重新签的证书5.负载均衡下或者 CDN 中部署 HTTPS 的一些经验负载均衡或者CDN采用HTTPS部署使用单独的证书和独立域名,避免同域下的浏览器加载并发限制等问题。


标签:
cache
Processed in 0.005095 Second.