TLS страх, мързел и лоша репутация - JAXenter

страх

"TLS? Бавно! HTTP2? Никой не се нуждае! “- Глупости, казва говорителят на W-JAX Торстен Бьог Кьостер: TLS напредва, скоро ще бъде задължителен в Chrome и Firefox и основа за използването на HTTP/2. В интервюто той обяснява как да ускорите TLS конфигурациите и защо TLS във връзка с HTTP/2 е толкова добра комбинация.

JAXenter: Какво основно трябва да имат предвид разработчиците, ако искат да надстроят уебсайта си до TLS?

Торстен Кьостер: Тук трябва да разграничите действителната TLS конфигурация (или SSL) и процеса на преход на уебсайта. С конфигурацията на TLS трябва да овладеете балансиращия акт между сигурна конфигурация и поддръжката и на по-стари клиенти - напр. Б. Windows XP. За начало HTTP и HTTPS версията на уебсайт може да работи паралелно. Чрез тестване на варианта HTTPS е възможно да се тества за предупреждения за смесено съдържание, т.е.ресурси, които все още са интегрирани от несигурни връзки. Системите за проследяване като Google Analytics или New Relic са кандидати.

С конфигурацията на TLS трябва да овладеете балансиращия акт между сигурна конфигурация и поддръжката на по-стари клиенти.

В даден момент трябва да решите да насочите HTTP трафика към HTTPS варианта. Тук трябва да настроите пренасочванията в уеб сървъра толкова чисто, че само едно пренасочване се задейства към клиента. В противен случай латентността z. Б. в мобилния сектор водят до крайна загуба на обменни курсове.

Сега трябва да разгледате потреблението на процесора за прекратяване на TLS най-късно. Прекратяването на TLS е CPU свиня. Въпреки че и това се подобри много. TLS от уебсайтове с високо натоварване също могат да бъдат прекратени на виртуални машини без никакви проблеми. Б. HAProxy и OpenSSL изключително ефективни.

JAXenter: TLS има репутацията на бавен. Какво трябва да направят разработчиците, за да не се случи това?

Торстен Кьостер: Определено влезте в моята беседа. Готовите конфигурации на TLS обикновено са бавни и не са особено сигурни. Най-големите загуби на време са ненужни двупосочни връзки между сървър и клиент или дори между клиент и сертифициращ орган за валидиране на сертификати. За да елиминирате всички TLS двупосочни пътувания, z. Б. Използват се допълнителни сертификати за валидиране (подреждане на OCSP) и се активират префиксите на протокола и TLS ранно стартиране. Всички изпитани техники.

JAXenter: Всеки байт е безценен, особено при мобилния трафик на данни. Кои специални функции трябва да вземат предвид разработчиците?

В мобилния сектор всяка форма на криптиране за съжаление е непродуктивна.

Торстен Кьостер: За съжаление, всяка форма на криптиране е контрапродуктивна тук, защото винаги надува трафика на данни. Но и тук TLS може да бъде поставен на диета и двупосочните пътувания могат да бъдат сведени до минимум и TLS оптимизирани за използване в нестабилни мрежи. Ако пакетите често се губят - както в клетъчните мрежи - Б. Има смисъл да се намали размерът на кадрите, кодирани в едно парче.

JAXenter: Защо TLS и HTTP/2 са толкова добра комбинация?

Торстен Кьостер: В настоящите изпълнения на браузъра TLS е задължително изискване за използването на HTTP2. Като необходимо зло трябва да се занимаем с темата за TLS ...

JAXenter: С инициативата Let's Encrypt всъщност няма аргументи защо данните се изпращат некриптирани. Но все пак само малка част от мрежата е криптирана. Защо мислите, че е така?

Торстен Кьостер: Това ще бъде смесица от страх, мързел и лошото име на TLS. Работя за Интернет групата Shopping24 и като търсене на продукти, високият процент на конверсия на нашите потребители е изключително важен за нас. Съответно треперехме бурно, когато първият клиент премина към TLS. И не без основателна причина, защото нашата TLS конфигурация беше всичко друго, но не и идеална в началото. Сега постигаме по-добър процент на конверсия за наемателите на TLS, отколкото за малкото некриптирани наематели. Скоростта на конверсия вероятно ще се подобри чрез по-нататъшното разширяване на HTTP2 и нарастващата поддръжка в уеб сървърите.

Запознайте се с Torsten Bøgh Köster на W-JAX 2016

Неговата сесия Tuning TLS за сигурност, скорост и HTTP/2 ще се проведе във вторник, 8 ноември от 16:45 ч. В зала "Атланта".

Резюме:
"TLS? Бавно! HTTP2? Никой не се нуждае! “- Глупости! TLS е на аванс, скоро ще бъде задължителен в Chrome и Firefox и основа за използването на HTTP/2. Слухът за бавен TLS продължава и се основава на многото стандартни инсталации на Apache, nginx и Co. Със старта на Let's Encrypt редовните SSL сертификати са достъпни за всички. В тази сесия ние (на живо) надграждаме необезопасен уебсайт до TLS и HTTP/2. Работим със сертификат Let's Encrypt. Проверяваме и оптимизираме нивото и скоростта на защита на TLS. По-специално първоначалното ръкостискане на TLS изисква много оптимизация, за да се сведе до минимум латентността и по този начин TTFB, особено при мобилни връзки. В последната стъпка повишаваме доставката на уебсайта до HTTP/2.