前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >解密亚洲诚信如何做到HTTPS的最佳安全实践

解密亚洲诚信如何做到HTTPS的最佳安全实践

作者头像
IT大咖说
发布2018-04-03 15:53:02
1.1K0
发布2018-04-03 15:53:02
举报
文章被收录于专栏:IT大咖说
摘要

随着亚洲诚信2016年推出加密无处不在以来,HTTPS的使用成本和技术门槛逐步降低,HTTPS正被越来越多的网站和企业使用。但是我们发现,进行正确的HTTPS配置和安全部署情况并不乐观。此次分享主要向大家介绍HTTPS常见安全威胁以及如何部署安全的HTTPS服务。

视频内容

HTTPS行业动态

2014年到2015年,Google、Baidu等搜索引擎优先收录了HTTPS网站。

2015年,Baidu、Alibaba等国内大型互联网公司陆续实现了全站HTTPS加密。

2016年,Apple强制实施ATS标准;微信小程序要求后台通信必须用HTTPS;美国、英国政府机构网站实现全站HTTPS;国家网络安全法规定,网络运营者需要保护其用户信息的安全,并明确了相关法律责任。

2017年,Chrome、Firefox将标示HTTPS站点不安全。

HTTP/2的主流实现都要求使用HTTPS。TLS1.3即将发布,使HTTPS更快更安全。

HTTPS安全现状

HTTPS的安全现状仍是不容乐观。

如何让HTTPS更安全

证书选择

首先要考虑证书品牌,看它的兼容性、技术背景如何,口碑怎样,占有率是多少。

审核类型根据审核的强度分为了EV、OV、DV。商用站点最好是选择EV、OV。

从证书功能上来看,又分为单域名、多域名和通配符。而一般情况下,多域名和通配符容易增加风险,所以在能满足基本需求的情况下尽量选择单域名。

常见的证书算法有RSA、ECC等。ECC是目前更安全、性能更高的一种算法。

优化配置

完善证书链,提升兼容性。

启用安全协议版本,弃用不安全协议版本。

选用安全性能好的套件组合,弃用一些有安全漏洞或加密强度不高的套件组合。

利用Session ID和Session Ticker实现会话恢复。

漏洞修复

通过调整加密协议、加密套件或升级SSL服务端等措施得到修复。

安全加固

HSTS:浏览器实现HTTPS强制跳转,减少会话劫持风险。

HPKP:指定浏览器信任的公钥,防止CA误发证书而导致中间人攻击。

CAA:通过DNS指定自己信任的CA,使CA避免误发证书。

OCSPStapling:服务端SSL握手过程直接返回OCSP状态,避免用户向CA查询,保护用户隐私。

MySSL——HTTPS安全评估

HTTP安全概览

HTTP配置建议

1、配置符合PFS规范的加密套件。

2、在服务端TLS协议中启用TLS1.2。

3、保证当前域名与所使用的证书匹配。

4、保证证书在有效期内。

5、使用SHA-2签名算法的证书。

6、保证证书签发机构是可信的CA机构。

7、HSTS的max-age需要大于15768000秒。

MySLL——HTTPS最佳安全实践

我的分享到此结束,谢谢大家!

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-06-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 IT大咖说 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
脆弱性检测服务
脆弱性检测服务(Vulnerability detection Service,VDS)在理解客户实际需求的情况下,制定符合企业规模的漏洞扫描方案。通过漏洞扫描器对客户指定的计算机系统、网络组件、应用程序进行全面的漏洞检测服务,由腾讯云安全专家对扫描结果进行解读,为您提供专业的漏洞修复建议和指导服务,有效地降低企业资产安全风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档