TLS с Let; s Шифровайте страх, мързел и лоша репутация - търговска мрежа shopping24

През ноември 2016 г. имах възможността да докладвам за нашия опит с настройването на SSL/TLS връзки и използването на Let's Encrypt сертификати.

търговска

По време на хакерска сесия на живо показах стъпките, които са необходими за надграждане на екземпляр AWS-EC2, оборудван с HAProxy & Nginx от HTTP до TLS и след това за активиране на HTTP/2. Преди разговора JAXenter проведе следното интервю с мен по темата.

JAXenter: Какво основно трябва да имат предвид разработчиците, ако искат да надстроят уебсайта си до TLS?

Торстен Кьостер: Тук трябва да разграничите действителната TLS конфигурация (или SSL) и процеса на преход на уебсайта. С конфигурацията на TLS трябва да овладеете балансиращия акт между сигурна конфигурация и поддръжката и на по-стари клиенти - напр. Б. Windows XP. За начало HTTP и HTTPS версията на уебсайт може да работи паралелно. Чрез тестване на варианта HTTPS е възможно да се тества за предупреждения за смесено съдържание, т.е.ресурси, които все още са интегрирани от несигурни връзки. Системите за проследяване като Google Analytics или New Relic са кандидати.

В даден момент трябва да решите да насочите HTTP трафика към HTTPS варианта. Тук трябва да настроите пренасочванията в уеб сървъра толкова чисто, че само едно пренасочване се задейства към клиента. В противен случай латентността z. Б. в мобилния сектор водят до крайна загуба на обменни курсове.

Сега трябва да разгледате потреблението на процесора за прекратяване на TLS най-късно. Прекратяването на TLS е CPU свиня. Въпреки че и това се подобри много. TLS от уебсайтове с високо натоварване също могат да бъдат прекратени на виртуални машини без никакви проблеми. Б. HAProxy и OpenSSL изключително ефективни.

„С TLS конфигурацията трябва да овладеете балансиращия акт между сигурна конфигурация и поддръжката на по-стари клиенти.“

JAXenter: TLS има репутацията на бавен. Какво трябва да направят разработчиците, за да не се случи това?

Торстен Кьостер: Определено влезте в речта ми. Готовите конфигурации на TLS обикновено са бавни и не са особено сигурни. Най-големите загуби на време са ненужни двупосочни връзки между сървър и клиент или дори между клиент и сертифициращ орган за валидиране на сертификати. За да елиминирате всички TLS двупосочни пътувания, z. Б. Използват се допълнителни сертификати за валидиране (подреждане на OCSP) и се активират префиксите на протокола и TLS ранно стартиране. Всички изпитани техники.

JAXenter: Всеки байт е безценен, особено при мобилния трафик на данни. Кои специални функции трябва да вземат предвид разработчиците?

Торстен Кьостер: За съжаление, всяка форма на криптиране е контрапродуктивна тук, защото винаги надува трафика на данни. Но и тук TLS може да бъде поставен на диета и двупосочните пътувания могат да бъдат сведени до минимум и TLS оптимизирани за използване в нестабилни мрежи. Ако пакетите често се губят - както в клетъчните мрежи - Б. Има смисъл да се намали размерът на кадрите, кодирани в едно парче.

JAXenter: Защо TLS и HTTP/2 са толкова добра комбинация?

Торстен Кьостер: TLS е задължително изискване за използването на HTTP2 в текущите изпълнения на браузъра. Като необходимо зло трябва да се занимаем с темата за TLS ...

„Смес от страх, мързел и лошата репутация на TLS“

JAXenter: С инициативата Let's Encrypt всъщност няма аргументи защо данните се изпращат некриптирани. Но все пак само малка част от мрежата е криптирана. Защо мислите, че е така?

Торстен Кьостер: Това ще бъде смесица от страх, мързел и лошата репутация на TLS. Работя за търговската мрежа shopping24 и като търсене на продукт, високият процент на конверсия на нашите потребители е изключително важен. Съответно треперехме бурно, когато първият клиент премина към TLS. И не без основателна причина, защото нашата TLS конфигурация беше всичко друго, но не и идеална в началото. Сега постигаме по-добър процент на конверсия за наемателите на TLS, отколкото за малкото некриптирани наематели. Скоростта на конверсия вероятно ще се подобри чрез по-нататъшното разширяване на HTTP2 и нарастващата поддръжка в уеб сървърите.