大型网站HTTPS部署实践点拨

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

一、HTTPS简介

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer)是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTP协议传输的数据是未加密的明文,因此使用HTTP协议传输隐私信息非常不安全。为了保证隐私数据能加密传输,网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。SSL目前的版本是3.0,被IETF(Internet Engineering Task Force)定义在RFC 6101中,之后IETF对SSL 3.0进行了升级,于是出现了TLS(Transport Layer Security) 1.0,定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议,但是由于SSL出现的时间比较早,并且依旧被现在浏览器所支持,因此SSL依然是HTTPS的代名词,但无论是TLS还是SSL都是上个世纪的事情,SSL最后一个版本是3.0,今后TLS将会继承SSL优良血统继续为我们进行加密服务。目前TLS的版本是1.2,定义在RFC 5246中,暂时还没有被广泛的使用。

但是网站使用了HTTPS加密之后,有朋友提出使用F12还能看到用户名密码,例如:

这是因为HTTPS(SSL)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。及时数据在传输过程中被抓包,由于是加密数据也难以破解,从而保护数据在传输过程中的安全性。

其实除HTTPS加密之外,还有控件加密,用户需要下载安全控件才能输入密码,这在银行系统,支付宝页面都会经常遇到:

通过加密控件可以解决在应用层的http post的明文密码。

二、HTTPS的工作原理

HTTPS是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密、解密、验证的,且看下图:

1.客户端发起HTTPS请求

首先客户端发起一个HTTPS的请求给服务器端,并且将浏览器自己支持的一套加密规则一起发送给服务端。

2.服务端证书配置

采用HTTPS协议的服务器端要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书一般不会弹出提示页面。这套证书其实就是一对公钥和私钥。一般情况下可以快速申请免费的ssl证书,而尽量避免自己生产证书。

服务端接收到客户端的HTTPS请求后,会选择出一种加密算法和HASH算法,以证书的形式返回给客户端,证书还包含了公钥、颁证机构、网址、失效日期等信息。

3.传送证书

服务器端将证书信息传送会客户端。

4.客户端解析证书

这部分工作是由客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随即值。然后用证书对该随机值进行加密,一般证书验证通过后,在浏览器的地址栏会加上一把小锁。

5.传送加密信息

这部分传送的是客户端用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密。

6.服务端解密信息

服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够复杂,私钥够复杂,数据就够安全。

7.传输加密后的信息

这部分信息是服务端用私钥加密后的信息,可以在客户端被还原。

8.客户端解密信息

客户端用之前生成的私钥解密服务端传过来的信息,获取了解密后的内容。因为这串密钥只有客户端和服务端知道,所以即使中间请求被拦截、数据被抓包也是没法解密数据的,以此保证了通信的安全。

三、SSL证书选择指南

  • SL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。CA机构颁发的证书有3种类型:
  • 域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站。
  • 企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高。

增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。

此外还可以自动生成自签名证书,自签名证书一般不会被浏览器验证通过,所以很少在生产环境中出现,一般在内部测试环境经常用到。

一般情况下不同的证书,认证等级、显示图标不同,在域名的支持下、价格、保额费用上也不同:

SSL证书厂商的选择这里不再做过多推荐,总的原则是越大的厂商越可靠。选择的厂商一定要提前调查好是否被信任。 如之前的沃通事件就导致很多公司联系沃通更换新证书后才被浏览器继续信任。

四、部署网站HTTPS

正式购买后如何不是证书到网站,实现HTTPS访问呢?

首先在购买证书的时候,证书厂商都会在其帮助文档中详述证书部署指南,一般来说按照帮助文档一步一步部署即可。

一般会有Apache、IIS、Nginx、Tomcat等多种部署方式,这里以Nginx为例做简单介绍。

首先是证书的申请和下载。作者个人自己网站的正式是通过腾讯云提供的免费SSL正式申请服务申请的:

下载后如下:

在Nginx的部署目录下的conf下建立sslkey文件夹,将上述下载后的Nginx文件下的1_www.fineops.com_bundle.crt 和2_www.fineops.com.key两个文件上传到sslkey中。修改nginx.conf文件,按照腾讯云帮助文档操作即可。

这里需要注意,一般证书部署后,需要设置一些http自动跳转到https,这一般在帮助文档中不会有。可以采用以下几种方式:

  • rewrite的方式: rewrite ^(.*)$ https://$host$1 permanent;
  • nginx的497状态码:error_page 497 https://$host$uri?$args;
  • 首页的meta的刷新:
  • <meta http-equiv=”refresh” content=”0;url=https://test.com/”> (未实践过)

我们这里采用了proxy_redirect的方式,在nginx中配置:proxy_redirect http://www.fineops.com:443/ https://www.fineops.com/;实现自动跳转至https。

五、总结

HTTP转HTTPS是趋势,技术也相对比较成熟。但是使用HTTPS之后,由于比HTTP多几次握手和加解密的过程,所以对网站的性能会有一定的下降。另外部署证书的服务器一定要升级openssl,提高TSL版本,避免中间人攻击利用等。

在HTTP转HTTPS的过程中,主要注意页面跳转、第三方接口、静态资源CDN等方面在转HTTPS之后的测试,确保跳转和加载没有问题。


本文作者:战学超

来源:51CTO

目录
相关文章
|
6月前
|
安全 网络协议 网络安全
HTTPS:保护你的网站免受中间人攻击的关键技术
【6月更文挑战第13天】HTTPS是抵御中间人攻击的关键技术,通过数据加密、身份验证和完整性保护保障网络安全。它基于SSL/TLS协议加密通信,防止数据被窃取或篡改,并使用数字证书确认服务器身份,避免伪造。要确保HTTPS安全,需使用有效数字证书,启用强制HTTPS,定期更新维护并限制访问范围。
|
2月前
|
Docker 容器
docker nginx-proxy 添加自定义https网站
docker nginx-proxy 添加自定义https网站
39 4
|
3月前
|
安全 应用服务中间件 网络安全
检查一个网站是否启用了HTTPS
检查一个网站是否启用了HTTPS
763 5
|
2月前
|
安全 应用服务中间件 Shell
网站在后台启用了https协议之后重新登录就不进去后台的解决方法
网站在后台启用了https协议之后重新登录就不进去后台的解决方法
|
3月前
|
存储 安全 搜索推荐
https网站
https网站
196 1
|
4月前
|
安全 Nacos 数据安全/隐私保护
【技术干货】破解Nacos安全隐患:连接用户名与密码明文传输!掌握HTTPS、JWT与OAuth2.0加密秘籍,打造坚不可摧的微服务注册与配置中心!从原理到实践,全方位解析如何构建安全防护体系,让您从此告别数据泄露风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其连接用户名和密码的明文传输成为安全隐患。本文探讨加密策略提升安全性。首先介绍明文传输风险,随后对比三种加密方案:HTTPS简化数据保护;JWT令牌减少凭证传输,适配分布式环境;OAuth2.0增强安全,支持多授权模式。每种方案各有千秋,开发者需根据具体需求选择最佳实践,确保服务安全稳定运行。
343 0
|
4月前
|
网络安全 Apache Windows
网站⭐Windows下,将xampp升级为https
网站⭐Windows下,将xampp升级为https
|
6月前
|
监控 安全 网络安全
探讨网站加密访问的安全性问题:HTTPS的防护与挑战
**探讨HTTPS在网站加密中的角色,提供数据加密和身份验证,防范中间人攻击。心脏滴血漏洞示例显示持续维护的必要性。面临证书管理、性能影响和高级攻击挑战,应对措施包括更新、HSTS策略及用户教育。HTTPS是安全基础,但需不断优化以应对新威胁。**
396 2
若依修改,http和https的两种写法,部署成功的两种写法
若依修改,http和https的两种写法,部署成功的两种写法
|
7月前
|
安全 算法 网络协议
HTTPS:如何确保您的网站数据传输安全?
HTTPS:如何确保您的网站数据传输安全?
379 2