HTTPS安全性更高,不過從原來的HTTP遷移至HTTPS的過程非常困難。那么,遷移過程中會碰到哪些挑戰(zhàn)?企業(yè)又該如何解決?
Matthew Pascucci:前不久,美國專利商標(biāo)局(USPTO)在其網(wǎng)站上發(fā)現(xiàn)了從HTTP轉(zhuǎn)換為HTTPS的問題,在此過程中需暫時恢復(fù)為HTTP。
2015年6月,美國政府授權(quán)為所有可公開訪問的聯(lián)邦網(wǎng)站提供安全的服務(wù)連接,以保護運輸中的數(shù)據(jù)。這一點非常重要,到這些站點和服務(wù)的所有流量都是透明的,且有被攻擊者竊聽的風(fēng)險。
近年來,遷移到HTTPS已經(jīng)變得比較容易,但是在進行移動時仍然會有所顧慮。像Google這樣的大型供應(yīng)商們正在減少對HTTP的依賴,當(dāng)用戶嘗試訪問使用HTTP的Chrome中的網(wǎng)站發(fā)送敏感數(shù)據(jù)時,會發(fā)告警提醒用戶。Google Chrome終將為所有HTTP網(wǎng)站設(shè)置一個安全警告。
過去,企業(yè)遷移到SSL的主要難點之一是證書的成本,不過Let's Encrypt通過向有需求的人們發(fā)放免費證書來解決這一難題,這有助于推動企業(yè)轉(zhuǎn)向HTTPS。
當(dāng)遷移到HTTPS時,企業(yè)應(yīng)該檢查一些事情:使用的Web服務(wù)器、可用的密碼以及是否可以執(zhí)行TLS 1.2。在建立HTTPS連接的系統(tǒng)上可能會有更高的技術(shù)開銷,企業(yè)要驗證它們是否具有適合的硬件來處理這些請求。這對于每個企業(yè)來說都是不同的,也可能壓根不是什么問題,但首先要全盤檢查一下。
Web服務(wù)器允許使用最新的密碼也是一件好事。這將使SSL連接更為安全,但是僅在Web服務(wù)器上擁有SSL證書并不意味著企業(yè)完全安全。使用TLS 1.1或1.2也將增加連接的安全性,但根據(jù)客戶對站點的請求,必須“因地制宜”地進行審查。
遷移到HTTPS時,強烈建議同時配置完善的前端保密功能以保護會話,預(yù)防私密密鑰遭到破壞。最后,通過SSL檢查器運行站點,以便在SSL配置生效后驗證SSL(例如Qualys和DigiCert等公司提供的免費服務(wù))。如果有任何SSL問題或安全問題,它們將在掃描中顯示出來。
通常,遷移到HTTPS后需要處理幾個內(nèi)務(wù)處理問題。第一個是設(shè)置從任何HTTP到HTTPS的301重定向。這將會把慣于訪問通過HTTP訪問站點的用戶發(fā)送至HTTPS。如果未完成,該網(wǎng)站可能被視為無法使用的用戶。
同樣重要的是確保頁面上的所有內(nèi)部鏈接都被調(diào)整好,這樣就不會導(dǎo)致頁面的性能問題,以及可能會對網(wǎng)站造成的SEO的損失。
另外,驗證哪里的SSL連接將被終止。它會在服務(wù)器本身還是負載平衡端發(fā)生?如果需要進行端對端加密,并使用負載平衡,請確保在負載平衡器解密到Web服務(wù)器之后重新加密連接。