流量劫持别抵制了,全站HTTPS是王道!

幸运草
幸运草
幸运草
896
文章
3
评论
2020年3月28日15:55:33 评论 344

流量劫持别抵制了,全站HTTPS是王道!

为什么自己的访问行为和隐私数据突然会被“偷走”?为什么域名没输错,结果却跑到了一个钓鱼网站上?用户数据泄露、流量劫持、页面篡改等安全事件频发。

继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里,将Google搜索、Gmail、YouTube等产品从HTTP协议改为加密的HTTPS版协议,其在2015年12月宣布将调整Google搜索的索引系统,调整后的索引系统将HTTPS网页为优先索引对象。全站HTTPS为什么可以做到防劫持、防篡改的功效,有哪些优势?

HTTPS是什么,先简单做个普及,了解的请掠过~~

HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。

HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。

TLS/SSL 全称安全传输层协议 (Transport Layer Security), 是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。

前文讨论了 HTTPS 原理与优势,但通过增加新协议以实现更安全的通信必然需要付出代价,HTTPS 协议的性能损耗主要体现为消耗较多的CPU资源和增加延时。

HTTPS延时特点是服务节点越近延时越小,CDN 天然离用户最近,因此选择使用 CDN 作为 HTTPS 接入的入口,将能够极大减少接入延时。不过,由于HTTPS协议需要复杂的加解密动作,相对于HTTP协议需要消耗大量的计算资源,加密解密也会消耗更长的传输时间,致使HTTPS网站相比普通的HTTP网站在加载、传输过程中面临更大的挑战。

HTTPS加速解决方案,基本上有以下几种:

1、HTTPS证书加速:源站提供证书,包括公钥证书和私钥,CDN负责交互和内容缓存,CDN有缓存则直接响应,以HTTP或HTTPS的形式回源。这严重破坏了PKI安全信任的基本原则,即私钥必须是严格保密、不能与第三方共享的。尽管也有替代的方案不要求用户共享私钥,比如使用客户证书(Custom Certificate)或者共享证书(Shared Certificate)方案,但是秘钥管理复杂,客户网站无法自主的撤销自己对CDN厂商的授权,作为可信第三方的CA也没有撤销体现授权关系的共享证书。

2、无证书https加速:源站无需提供证书,客户端无感知,CDN存放公钥,源站存放私钥。这一方案不要求源网站与CDN共享私钥,而是在CDN与前端浏览器进行TLS的认证和秘钥协商过程中,通过安全的信道把协商过程中的信息以HTTP或HTTPS的形式转发给源网站,由源网站提取会话秘钥或完成签名以后再提交给CDN节点。

3、HTTPS数据通道加速:用户请求CDN,CDN以独有数据加速网络,以最优路径将数据送达最靠近源站的接入点,靠近源站节点将请求送到源站。此方案中,CDN不做缓存,仅以自有的加速网络,将用户的请求快速送到源站,降低公网延迟。

互联网源站依据自身需求可灵活选择以上解决方案,方案1适用仅对防劫持、防篡改有需求,而愿意提供证书给CDN的源站加速。方案2适用于对安全要求更高,不愿将私钥共享给CDN的源站加速。方案3则适用于纯动态数据,CDN无法缓存的源站加速。目前,市面上的CDN厂商基本上能支持方案1,而方案2、方案3只有少数支持,且在方案2的支持上,主流CDN厂商是HTTP回源,未能实现全程HTTPS加速。

随着源网站对用户访问信息在传送过程中有更高安全、更高防篡改、更高防劫持的要求,包括静态、动态内容的全站将支持HTTPS,对CDN的要求将更高。

在全球各大科技公司的推动下,HTTPS加密通讯已逐渐成为了主流的网络通讯协议。2016年,HTTPS全站加速将大行其道!

本文来源于:流量劫持别抵制了,全站HTTPS是王道!-变化吧博客
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧博客观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
当心!你的DNS可能被劫持了! 劫持

当心!你的DNS可能被劫持了!

百度疑遭神马流量劫持 搜索暗战又将爆发?近期,有网友在微博上爆料说,在使用百度搜索的时候,浏览完落地页返回搜索结果页时,会进入到一个虚假的百度移动搜索结果页,一眼看去与百度搜索并无差别,但仔细观察会发...
8种网络黑灰产作案工具 劫持

8种网络黑灰产作案工具

个人信息安全、黑灰产业链... 这些词语近年来高频出现 除了网络安全相关的专业人士 现在普通的网络用户 对网络安全的重视程度也越来越高 9月17日,2018国家网络安全宣传周——网络安全博览会揭幕。本...
网络诈骗就在我们身边,时刻提高警惕 劫持

网络诈骗就在我们身边,时刻提高警惕

为什么DNS监测能够让你的网络更加安全但由于极少有公司会出于安全目的监测DNS状态,DNS如今已成为攻击者理想的攻击手段。 在DNS层实施安全防御,可以有效检测和控制此类恶意软件感染。在恶意连接建立之...