从HTTP迁移至HTTPS需要注意什么?
2017-07-28 14:14
447 查看
原文地址
HTTPS安全性更高,不过从原来的HTTP迁移至HTTPS的过程非常困难。那么,迁移过程中会碰到哪些挑战?企业又该如何解决?
Matthew Pascucci:前不久,美国专利商标局(USPTO)在其网站上发现了从HTTP转换为HTTPS的问题,在此过程中需暂时恢复为HTTP。
2015年6月,美国政府授权为所有可公开访问的联邦网站提供安全的服务连接,以保护运输中的数据。这一点非常重要,到这些站点和服务的所有流量都是透明的,且有被攻击者窃听的风险。
近年来,迁移到HTTPS已经变得比较容易,但是在进行移动时仍然会有所顾虑。像Google这样的大型供应商们正在减少对HTTP的依赖,当用户尝试访问使用HTTP的Chrome中的网站发送敏感数据时,会发告警提醒用户。Google Chrome终将为所有HTTP网站设置一个安全警告。
过去,企业迁移到SSL的主要难点之一是证书的成本,不过Let's Encrypt通过向有需求的人们发放免费证书来解决这一难题,这有助于推动企业转向HTTPS。
当迁移到HTTPS时,企业应该检查一些事情:使用的Web服务器、可用的密码以及是否可以执行TLS 1.2。在建立HTTPS连接的系统上可能会有更高的技术开销,企业要验证它们是否具有适合的硬件来处理这些请求。这对于每个企业来说都是不同的,也可能压根不是什么问题,但首先要全盘检查一下。
Web服务器允许使用最新的密码也是一件好事。这将使SSL连接更为安全,但是仅在Web服务器上拥有SSL证书并不意味着企业完全安全。使用TLS 1.1或1.2也将增加连接的安全性,但根据客户对站点的请求,必须“因地制宜”地进行审查。
迁移到HTTPS时,强烈建议同时配置完善的前端保密功能以保护会话,预防私密密钥遭到破坏。最后,通过SSL检查器运行站点,以便在SSL配置生效后验证SSL(例如Qualys和DigiCert等公司提供的免费服务)。如果有任何SSL问题或安全问题,它们将在扫描中显示出来。
通常,迁移到HTTPS后需要处理几个内务处理问题。第一个是设置从任何HTTP到HTTPS的301重定向。这将会把惯于访问通过HTTP访问站点的用户发送至HTTPS。如果未完成,该网站可能被视为无法使用的用户。
同样重要的是确保页面上的所有内部链接都被调整好,这样就不会导致页面的性能问题,以及可能会对网站造成的SEO的损失。
另外,验证哪里的SSL连接将被终止。它会在服务器本身还是负载平衡端发生?如果需要进行端对端加密,并使用负载平衡,请确保在负载平衡器解密到Web服务器之后重新加密连接。
原文地址
HTTPS安全性更高,不过从原来的HTTP迁移至HTTPS的过程非常困难。那么,迁移过程中会碰到哪些挑战?企业又该如何解决?
Matthew Pascucci:前不久,美国专利商标局(USPTO)在其网站上发现了从HTTP转换为HTTPS的问题,在此过程中需暂时恢复为HTTP。
2015年6月,美国政府授权为所有可公开访问的联邦网站提供安全的服务连接,以保护运输中的数据。这一点非常重要,到这些站点和服务的所有流量都是透明的,且有被攻击者窃听的风险。
近年来,迁移到HTTPS已经变得比较容易,但是在进行移动时仍然会有所顾虑。像Google这样的大型供应商们正在减少对HTTP的依赖,当用户尝试访问使用HTTP的Chrome中的网站发送敏感数据时,会发告警提醒用户。Google Chrome终将为所有HTTP网站设置一个安全警告。
过去,企业迁移到SSL的主要难点之一是证书的成本,不过Let's Encrypt通过向有需求的人们发放免费证书来解决这一难题,这有助于推动企业转向HTTPS。
当迁移到HTTPS时,企业应该检查一些事情:使用的Web服务器、可用的密码以及是否可以执行TLS 1.2。在建立HTTPS连接的系统上可能会有更高的技术开销,企业要验证它们是否具有适合的硬件来处理这些请求。这对于每个企业来说都是不同的,也可能压根不是什么问题,但首先要全盘检查一下。
Web服务器允许使用最新的密码也是一件好事。这将使SSL连接更为安全,但是仅在Web服务器上拥有SSL证书并不意味着企业完全安全。使用TLS 1.1或1.2也将增加连接的安全性,但根据客户对站点的请求,必须“因地制宜”地进行审查。
迁移到HTTPS时,强烈建议同时配置完善的前端保密功能以保护会话,预防私密密钥遭到破坏。最后,通过SSL检查器运行站点,以便在SSL配置生效后验证SSL(例如Qualys和DigiCert等公司提供的免费服务)。如果有任何SSL问题或安全问题,它们将在扫描中显示出来。
通常,迁移到HTTPS后需要处理几个内务处理问题。第一个是设置从任何HTTP到HTTPS的301重定向。这将会把惯于访问通过HTTP访问站点的用户发送至HTTPS。如果未完成,该网站可能被视为无法使用的用户。
同样重要的是确保页面上的所有内部链接都被调整好,这样就不会导致页面的性能问题,以及可能会对网站造成的SEO的损失。
另外,验证哪里的SSL连接将被终止。它会在服务器本身还是负载平衡端发生?如果需要进行端对端加密,并使用负载平衡,请确保在负载平衡器解密到Web服务器之后重新加密连接。
原文地址
相关文章推荐
- 从HTTP迁移至HTTPS需要注意什么?
- 数据从MySQL迁移到Oracle 需要注意什么
- 从MySQL迁移到Oracle需要注意些什么
- 网站从http过度到https需要注意的几个小问题
- 数据从MySQL迁移到Oracle需要注意些什么
- 数据从MySQL迁移到Oracle 需要注意什么
- 上海代运营合同签订前企业需要注意什么
- VC++使用CSocket发送HTTP Request时需要注意发送数据的编码格式
- 从租用企业邮箱到自建邮件服务器需要注意什么
- 买笔记本需要注意什么?
- HTTPS与HTTP有什么区别?HTTPS的七个误解
- HTTPS和HTTP有什么区别
- 关于网站建设优化需要注意什么
- 使用aspose.cell导出excel需要注意什么?
- 什么是服务器证书?哪些网站需要HTTPS(SSL证书)
- 做外链的时候应该需要注意什么
- 写网页内容需要注意些什么?
- 结构体作为STL map的key时需要注意什么? (某公司招聘面试试题)
- 测试IOS APP需要注意什么
- Hibernate 先get 一个实体数据,在修改数据,为新的数据,再add到数据库,需要注意什么?