【專家坐堂】全站 HTTPS——如何規(guī)劃、部署、優(yōu)化？（獲獎名單已公布）

Godbach

回復(fù) 10# cxsvip

感謝分享。
證書小的話，至少網(wǎng)絡(luò)傳輸上節(jié)省帶寬。 ECDSA 現(xiàn)在勢頭比較猛。

GB_juno

回復(fù) 5# InfoHunter

HTTPs沒有做CT策略(目前只有chrome支持CT)，所以悲劇了..
看新聞上面看到是賽門鐵克之前未經(jīng)域名擁有者同意，私自簽發(fā)了75域名的測試證書（包括谷歌的域名），所以谷歌就要求了CT..神仙打架，吃瓜群眾莫名中槍

InfoHunter

cxsvip 發(fā)表于 2016-11-29 10:48
沒有接觸過HTTPS相關(guān)的項目，但SSL/TLS使用硬件加速一下的話應(yīng)該會對HTTPS有一定的好處，Intel的一個解決方 ...

Intel QAT吧，那個用過，比較便宜，不過我們的nginx是改的比較大，所以沒法用Intel給的patch，只能自己開發(fā)來調(diào)那些API

InfoHunter

GB_juno 發(fā)表于 2016-11-29 15:57
回復(fù) 5# InfoHunter

HTTPs沒有做CT策略(目前只有chrome支持CT)，所以悲劇了..

對，很多CA都沒少干這事，前段時間WoSign悲劇了，看新聞?wù)f360要把WoSign和StartCom再拆分開，不知道WoSign以后會咋樣…………

其實強制CT也是好事

InfoHunter

Godbach 發(fā)表于 2016-11-29 13:51
回復(fù) 10# cxsvip

感謝分享。

嗯，ECC值得使用，淘寶和天貓現(xiàn)在就是ECDSA的證書

InfoHunter

Godbach 發(fā)表于 2016-11-29 09:59
InfoHunter 兄介紹一下ATS的要求吧

OK，ATS全稱是Apple Transport Security，實際上就是從iOS 9開始默認開啟的一項功能，旨在讓App發(fā)起的到服務(wù)端的請求都走HTTPS。最近各App、CDN的vendor們都比較關(guān)注這個事情，并且積極的準備應(yīng)對，主要是因為在2016年6月的WWDC上Apple宣布從2017年1月開始強制執(zhí)行ATS（之前是可以關(guān)閉的）。

然后ATS有這么幾個細節(jié)，技術(shù)方面的：

• ATS只作用于high level的API，比如NSURLSession, NSURLConnection。。。socket層面不受ATS影響
• iOS 10之后SSL方面有這么幾個變化：RC4默認禁用、SSL 3默認禁用，新增了針對本地網(wǎng)絡(luò)不強制應(yīng)用ATS的功能，新增了對CT(certificate transparency)的支持。。。
  

如果App已經(jīng)支持了HTTPS，或者正在計劃支持，那強制ATS影響不大，皆大歡喜。

但是如果因為某些原因無法實現(xiàn)HTTPS，那可能就比較麻煩了，因為明年開始不能像之前那樣直接把ATS全局關(guān)閉來繞過，現(xiàn)在的手段主要是依賴于蘋果的App Review，需要提出合理的理由（reasonable justification）給審核人員，但是這個就已經(jīng)不是技術(shù)層面的問題，審核人員界定的理由的標準也不好判斷。

其實Apple這次釋放的信號已經(jīng)很明顯了，就是要增強安全，包括之前Google在搜索結(jié)果中會更偏向HTTPS網(wǎng)站的行為，其實都已經(jīng)說明HTTPS已經(jīng)是大勢所趨，假以時日，待HTTP/2全面鋪開，加密流量也會隨之無處不在。

結(jié)論就是，如果你的App還在裸跑HTTP，也許真到該考慮使用HTTPS的時候了。

Godbach

回復(fù) 16# InfoHunter
回答的灰常給力

forgaoqiang

回復(fù) 14# InfoHunter

蘋果、火狐瀏覽器不信任沃通證書一年 加密安全算法太弱也是個問題

Godbach

forgaoqiang 發(fā)表于 2016-11-29 23:55
回復(fù) 14# InfoHunter

蘋果、火狐瀏覽器不信任沃通證書一年 加密安全算法太弱也是個問題

有个CA资格多么难得，可以说一本万利。不好搞好维护，真不知道肿么想的

devil3380

沃通  呵呵. 現(xiàn)在chrome和firefox都對其采取不信任的措施,還不是自己找的
收購了StartCom,還把StartCom給搞臭了
看https://wiki.mozilla.org/CA:WoSign_Issues里面介紹的這樣,還有誰會去用
問題1
      沃通 CA 允許證書申請者選擇任意端口進行驗證，違反了限制端口和路徑使用的規(guī)定；
問題2
　　證書申請者如果能證明控制了某個子域名，那么就能獲得根域名的證書；
　　已經(jīng)研究人員利用沃通的這個失誤，獲得了一張沃通簽發(fā)的【GitHub 網(wǎng)站主域名的證書】。
問題3
　　被沃通并購的 StartCom（也是一家 CA），被發(fā)現(xiàn)允許對證書的簽署日期進行【倒填】。關(guān)于這個“倒填日期”的問題，俺稍微解釋一下：
　　由于如今的運算能力越來越強，SHA1 散列算法的可靠性越來越不夠了。一些主流的瀏覽器，如果發(fā)現(xiàn)2016元旦之后簽署的 CA 證書，依然采用 SHA1，會給出警告。
　　沃通的問題在于，它為了幫證書申請人規(guī)避瀏覽器警告，故意把簽署日期偽造成2015年底。

問題4
　　除了英國程序員曝光的那3個問題，再來說一下其他人曝光的問題——
　　沃通在2015年4月9日到4月14日之間，簽發(fā)了392個【相同序列號】的證書。

最近在折騰 Let's Encrypt了