为什么自己的访问行为和隐私数据突然会被“偷走”?为什么域名没输错,结果却跑到了一个钓鱼网站上?用户数据泄露、流量劫持、页面篡改等安全事件频发。
继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里,将Google搜索、Gmail、YouTube等产品从HTTP协议改为加密的HTTPS版协议,其在2015年12月宣布将调整Google搜索的索引系统,调整后的索引系统将HTTPS网页为优先索引对象。全站HTTPS为什么可以做到防劫持、防篡改的功效,有哪些优势?
HTTPS是什么,先简单做个普及,了解的请掠过~~
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。
HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。
TLS/SSL 全称安全传输层协议 (Transport Layer Security), 是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。
前文讨论了 HTTPS 原理与优势,但通过增加新协议以实现更安全的通信必然需要付出代价,HTTPS 协议的性能损耗主要体现为消耗较多的CPU资源和增加延时。
HTTPS延时特点是服务节点越近延时越小,CDN 天然离用户最近,因此选择使用 CDN 作为 HTTPS 接入的入口,将能够极大减少接入延时。不过,由于HTTPS协议需要复杂的加解密动作,相对于HTTP协议需要消耗大量的计算资源,加密解密也会消耗更长的传输时间,致使HTTPS网站相比普通的HTTP网站在加载、传输过程中面临更大的挑战。
HTTPS加速解决方案,基本上有以下几种:
1、HTTPS证书加速:源站提供证书,包括公钥证书和私钥,CDN负责交互和内容缓存,CDN有缓存则直接响应,以HTTP或HTTPS的形式回源。这严重破坏了PKI安全信任的基本原则,即私钥必须是严格保密、不能与第三方共享的。尽管也有替代的方案不要求用户共享私钥,比如使用客户证书(Custom Certificate)或者共享证书(Shared Certificate)方案,但是秘钥管理复杂,客户网站无法自主的撤销自己对CDN厂商的授权,作为可信第三方的CA也没有撤销体现授权关系的共享证书。
2、无证书https加速:源站无需提供证书,客户端无感知,CDN存放公钥,源站存放私钥。这一方案不要求源网站与CDN共享私钥,而是在CDN与前端浏览器进行TLS的认证和秘钥协商过程中,通过安全的信道把协商过程中的信息以HTTP或HTTPS的形式转发给源网站,由源网站提取会话秘钥或完成签名以后再提交给CDN节点。
3、HTTPS数据通道加速:用户请求CDN,CDN以独有数据加速网络,以最优路径将数据送达最靠近源站的接入点,靠近源站节点将请求送到源站。此方案中,CDN不做缓存,仅以自有的加速网络,将用户的请求快速送到源站,降低公网延迟。
互联网源站依据自身需求可灵活选择以上解决方案,方案1适用仅对防劫持、防篡改有需求,而愿意提供证书给CDN的源站加速。方案2适用于对安全要求更高,不愿将私钥共享给CDN的源站加速。方案3则适用于纯动态数据,CDN无法缓存的源站加速。目前,市面上的CDN厂商基本上能支持方案1,而方案2、方案3只有少数支持,且在方案2的支持上,主流CDN厂商是HTTP回源,未能实现全程HTTPS加速。
随着源网站对用户访问信息在传送过程中有更高安全、更高防篡改、更高防劫持的要求,包括静态、动态内容的全站将支持HTTPS,对CDN的要求将更高。
在全球各大科技公司的推动下,HTTPS加密通讯已逐渐成为了主流的网络通讯协议。2016年,HTTPS全站加速将大行其道!
作为一家云分发和云计算资源服务提供商,沙塔信息也在近日推出相应方案,对上述多种HTTPS防劫持模式实现完美支持。
同时,沙塔信息将和思华携手,联合参展本年度CCBN盛会,展馆位置:北京中国国际展览中心(老国展)国际馆2号馆2403,届时欢迎新老用户光临。
继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里,将Google搜索、Gmail、YouTube等产品从HTTP协议改为加密的HTTPS版协议,其在2015年12月宣布将调整Google搜索的索引系统,调整后的索引系统将HTTPS网页为优先索引对象。全站HTTPS为什么可以做到防劫持、防篡改的功效,有哪些优势?
HTTPS是什么,先简单做个普及,了解的请掠过~~
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。
HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。
TLS/SSL 全称安全传输层协议 (Transport Layer Security), 是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。
前文讨论了 HTTPS 原理与优势,但通过增加新协议以实现更安全的通信必然需要付出代价,HTTPS 协议的性能损耗主要体现为消耗较多的CPU资源和增加延时。
HTTPS延时特点是服务节点越近延时越小,CDN 天然离用户最近,因此选择使用 CDN 作为 HTTPS 接入的入口,将能够极大减少接入延时。不过,由于HTTPS协议需要复杂的加解密动作,相对于HTTP协议需要消耗大量的计算资源,加密解密也会消耗更长的传输时间,致使HTTPS网站相比普通的HTTP网站在加载、传输过程中面临更大的挑战。
HTTPS加速解决方案,基本上有以下几种:
1、HTTPS证书加速:源站提供证书,包括公钥证书和私钥,CDN负责交互和内容缓存,CDN有缓存则直接响应,以HTTP或HTTPS的形式回源。这严重破坏了PKI安全信任的基本原则,即私钥必须是严格保密、不能与第三方共享的。尽管也有替代的方案不要求用户共享私钥,比如使用客户证书(Custom Certificate)或者共享证书(Shared Certificate)方案,但是秘钥管理复杂,客户网站无法自主的撤销自己对CDN厂商的授权,作为可信第三方的CA也没有撤销体现授权关系的共享证书。
2、无证书https加速:源站无需提供证书,客户端无感知,CDN存放公钥,源站存放私钥。这一方案不要求源网站与CDN共享私钥,而是在CDN与前端浏览器进行TLS的认证和秘钥协商过程中,通过安全的信道把协商过程中的信息以HTTP或HTTPS的形式转发给源网站,由源网站提取会话秘钥或完成签名以后再提交给CDN节点。
3、HTTPS数据通道加速:用户请求CDN,CDN以独有数据加速网络,以最优路径将数据送达最靠近源站的接入点,靠近源站节点将请求送到源站。此方案中,CDN不做缓存,仅以自有的加速网络,将用户的请求快速送到源站,降低公网延迟。
互联网源站依据自身需求可灵活选择以上解决方案,方案1适用仅对防劫持、防篡改有需求,而愿意提供证书给CDN的源站加速。方案2适用于对安全要求更高,不愿将私钥共享给CDN的源站加速。方案3则适用于纯动态数据,CDN无法缓存的源站加速。目前,市面上的CDN厂商基本上能支持方案1,而方案2、方案3只有少数支持,且在方案2的支持上,主流CDN厂商是HTTP回源,未能实现全程HTTPS加速。
随着源网站对用户访问信息在传送过程中有更高安全、更高防篡改、更高防劫持的要求,包括静态、动态内容的全站将支持HTTPS,对CDN的要求将更高。
在全球各大科技公司的推动下,HTTPS加密通讯已逐渐成为了主流的网络通讯协议。2016年,HTTPS全站加速将大行其道!
作为一家云分发和云计算资源服务提供商,沙塔信息也在近日推出相应方案,对上述多种HTTPS防劫持模式实现完美支持。
同时,沙塔信息将和思华携手,联合参展本年度CCBN盛会,展馆位置:北京中国国际展览中心(老国展)国际馆2号馆2403,届时欢迎新老用户光临。
责任编辑:杨国栋
为您推荐
975元包13月130G流量 TD上网推年套餐
北京移动推出TD无线上网套餐,975元可使用13个月,共130G本地流量。根据北京移动页面提示,130G本地流量相当于“16000封250字Email+8000首4MMP3+90000个100K网页+2600段20M视频+120部300M高清电影”。移动推出G3无线上网卡年套餐据悉,该套餐仅提供北京本地无线上网功能,不提供语音、短信及国内、国际漫游无线上网功能。自激活之日的当月起,为期13个月。使用期过后,无线上网USIM卡将无法使用。13个月内,北京本地数据流量超过130G,系统将自动关闭无线上网功能。北京移动还提醒称,本套装仅可在支持TD-SCDMA制式的无线上网设备中使用。另据悉,该套餐
Facebook超雅虎成第二大视频流量源
美国两大视频平台Tubemogul和Brightcove周四联合发布报告称,2010年第四季度Facebook仍为全球第二大媒体网站视频流量来源,排名首位的是谷歌。Tubemogul和Brightcove此前发布的报告显示,Facebook于去年第三季度超越雅虎,成为全球第二大向媒体网站提供视频内容的流量源。当时Facebook的视频流量占整个网络视频流量的9.6%,而谷歌的份额超过50%。最新数据显示,2010年第四季度Facebook进一步巩固了其地位,市场份额从第三季度的9.6%增至11.8%。谷歌为60%,而Twitter只有2%。在用户实际观看网络视频的时长方面,Facebook和T