返回 登录
0

上云实践之全站升级HTTPS详解

摘要:
我司在运营一款叫妥妥医手机app是一款掌上的健康专家,是方便医生与患者之间交流沟通所推出的交流平台。而且妥妥医手机app让医生拥有自己的新型私人诊室,在线上答疑,线下诊疗。在网站HTTPS化是大势所趋。站点升级到HTTPS有很多优点。最大的优点当然是为用户提供了安全保证。而且搜索引擎Google也把HTTPS作为了影响网站排名的因子之一。而百度搜索引擎认为权值相同的站点,采用HTTPS协议的页面更加安全,排名上会优先对待,且同一个域名的HTTP版和HTTPS版视为一个站点,并优先收录HTTPS页面。

一、理解HTTP和HTTPS
HTTP即Hyper Text Transfer Protocol,超文本传输协议,是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准,是用于从WWW服务器传输超文本到本地浏览器的传输协议,是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。所有的WWW文件都必须遵守这个标准。
HTTPS即Hyper Text Transfer Protocol over Secure Socket Layer,是以安全为目标的HTTP通信,即HTTP的安全版,在HTTP通信上加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。其中,SSL逐渐演变到TLS。
HTTPS和HTTP的主要的区别如下:
1. HTTPS协议需要CA证书
2. HTTP是明文的传输协议,而HTTPS则是加密的传输协议
3. HTTPS和HTTP协议分别使用了不同的连接方式,默认使用的端口也不同
4. HTTP连接简单、无状态;而HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议,更加安全。

二、上云之路–升级HTTPS的理由
站点升级到HTTPS有很多优点。最大的优点当然是为用户提供了安全保证。而且搜索引擎Google也把HTTPS作为了影响网站排名的因子之一。而百度搜索引擎认为权值相同的站点,采用HTTPS协议的页面更加安全,排名上会优先对待,且同一个域名的HTTP版和HTTPS版视为一个站点,并优先收录HTTPS页面。
使用HTTPS发送的数据通过传输层安全协议TLS加以保护,TLS提供了三个关键的保护层:
1. 加密
加密交换的数据以保护其免受窃听者的攻击。这意味着,当用户浏览网站时,没有人可以“听”他们的对话,跨多个页面跟踪他们的活动或窃取他们的信息。
2. 数据的完整性
在传输期间,窃听者无法有意或无意地检测到数据,无法修改或损坏数据。
3. 验证
证明了用户与目标网站的相互通信,可防止中间人攻击并建立用户的信任,这可以转化为其他业务发展的优势。

三、上云之路–阿里云云盾证书服务
阿里云云盾证书服务即AliCloud Certificates Service,在云上签发Symantec、CFCA、GeoTrust证书,实现网站HTTPS化,使网站可信,防劫持、防篡改、防监听。并对云上证书进行统一生命周期管理,简化证书部署,一键分发到云上产品。云盾证书服务是和有资质的CA中心或代理商共同在阿里云为云客户提供直接申请购买管理SSL证书的产品,用户可以通过这个平台,选择需要的CA中心和其证书产品,为用户提供全站Https安全解决方案。其特征主要如下:
* 易用:在统一平台上实现数字证书的管理功能,提供最优性价比。
* 安全:和知名CA中心合作,保证数字证书的强度和可靠性。
* 可扩展:同一平台管理多家数字证书,同时应用在阿里云服务的各个环节中,最小的代价实现全站HTTPS。

四、上云之路——HTTPS升级过程
1、获得一张CA证书
升级到 HTTPS 协议的第一步,就是要获得一张证书。可以从这里购买:
http://common-buy.aliyun.com/?spm=5176.doc28548.2.1.3UxHj2&commodityCode=cas#/buy
根据自己网站的需要,可以选择证书的类型、证书的品牌、保护类型、域名个数、购买时长等。拿到证书以后,可以用 SSL Certificate Check 检查一下,信息是否正确。如果预算紧张,使用阿里云免费的DV SSL证书也是不错的。
2、安装证书
根据应用服务器和OS环境,安装获得的CA证书。比如Linux系统可以把证书放在/etc/ssl目录,然后根据使用的Web服务器进行配置。
3、修改网页
网页加载的HTTP资源,要全部改成HTTPS链接。
4、重定向设定
修改反向代理服务器,使用301重定向,将HTTP协议的访问导向HTTPS协议。以反向代理服务器Nginx 为例:

server {
  listen 80;
  server_name domain.com www.domain.com;
  return 301 https://domain.com$request_uri;
}

5、网页内容的修改
对网页中涉及到引用、链接等相关的内容,也需要升级到HTTPS。其中可能会涉及到CDN的HTTPS升级、已存在的旧重定向的升级等,要确保网页没有包含不安全的内容。

五、上云之路——HTTPS升级后的注意事项
2017年的全站HTTPS升级主要采用了Transport Layer Security version 1.2(即TLS 1.2)协议和Hypertext Transfer Protocol version 1.1(HTTP/1.1)协议。
尽管HTTPS被称为安全协议,但如果认为网站升级为HTTPS协议后就可以保护自己的网站是错误的。事实上,HTTPS网站并不受保护,仍然容易受到以下类型的漏洞攻击:
* 降级攻击
* SSL / TLS漏洞
* Heatbleed、Poodle、Logjam等漏洞
* 来自网站、服务器或网络的攻击
* 软件本身的漏洞
* 暴力攻击
* DDOS攻击
故HTTPS网站仍然需要防火墙等一系列的安全保护措施。

六、上云后的效果
全球网站向HTTPS升级是大势所趋,我司认为越早实施对业务越有利。从目前来看,实施效果已初步有所体现,主要表现在用户黏性的增加,以及用户对我们的网站更加信任了。更多的效果或许会在以后陆续体现出来。

评论