分类
知识中心

SSL证书是什么?ssl证书的重要性有哪些?

SSL(Secure Sockets Layer,安全套接层)是支持在网络服务器(主机)与网页浏览器(客户端)间建立加密连接的标准技术。运用SSL技术后,保证了主机与客户端连接过程中的数据安全。随着电子商务的发展,越来越多的运用SSL保护用户在线交易的安全性。如果您访问某网站时,在浏览器地址栏输入的地址以“https://”开头,则代表您正通过SSL建立安全连接。

SSL连接如何保护数据安全

SSL证书是什么?ssl证书的重要性有哪些?-1

使用SSL证书后,即在用户网络浏览器及网络服务器间创建了加密数据连接,这也就意味着,服务器与浏览器间的任何交易数据在解密前是不可读的。因此,正由于加密数据不易理解性,也防止了网络中的第三者窥探数据信息。

如何建立加密连接

SSL证书是什么?ssl证书的重要性有哪些?-2

在尝试建立安全连接前,需要进行以下三步操作:

1、在地址栏输入或选择安全URL,例如“https://www.baidu.com”;

2、服务器在收到您发送的安全连接请求后,提交尝试在浏览器与服务器间建立可信任连接的回复,这也就是所谓的“SSL握手”;

3、通过SSL握手验证SSL证书后,服务器与客户端间的数据将会以加密的形式传输,保证其隐私与安全。

如何直观辨别网站是否使用SSL
如果网站使用了SSL证书,虽然SSL协议具体内容并不会直接展示给用户,但大部分浏览器支持在地址栏显示一个锁的图案或其他形式证明其使用了SSL,这也表明了您目前正享受SSL加密会话的保护。如果您想了解SSL证书详细信息,只需点击地址栏头部“锁”的图标即可。

SSL对访问者意味着什么?
大 部分SSL证书包含域名、公司名称、国家及详细地址,当然也包含证书的有效期与证书颁发机构的详细信息。当浏览器尝试与网站建立SSL连接时,会首先核实 证书是否过期,是否由可信任的机构颁发以及网站是否正确。如果有任一项出现错误,浏览器将会提示警告,告知用户网站未使用SSL。

分类
网络新闻

谷歌警告称存在一个未经授权的证书危害所有操作系统

谷歌称,在3月20日发现有未经授权的数字证书,冒充成受信任的谷歌的域名。由一家叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由CNNIC发布的。谷歌警告称此证书可能会冒充其他网站。

谷歌警告称存在一个未经授权的证书危害所有操作系统-1

 

CNNIC包含在所有主要操作系统的受信任的根证书存储区中,所以其颁发的证书被几乎所有浏览器和操作系统所信任。包括Windows、OS X、Linux等系统。

谷歌已经就此事及时通知了CNNIC和其他主流浏览器厂商,我们阻止了chrome信任 MCS的证书。CNNIC22日解释称MCS只会在其已经注册拥有的域名上颁发证书。然而,MCS没有把私匙放在合适的HSM,MCS把它安装在中间人代理设备上。这些设备伪装成安全连接,用来拦截MCS雇员的安全通讯用以监视雇员或者其他目的。雇员的计算机通常必须被配置为信任代理才能够做到这一点。然而,MCS为了简单省事,直接将证书颁发到公共受信任证证书。这种做法严重违反了证书信任系统的规则。

这种解释是符合事实的。然而,CNNIC还签发了不适合MCS持有的证书权利和预期母的。

由于谷歌已经使用了CRLSet更新,所以Chrome用户不需要采取任何行动。我们并不建议人们更改密码,或采取其他行动。

再次,此事件也凸显了互联网证书颁发机制公开透明的必须要。

在 twitter上,谷歌发言人补充道:”我们理解MCS只是想查看他们的员工的通讯内容。”

Mozilla发言人随后称对 MCS颁发的中级证书将在即将到来的Firefox 37中被吊销。

(文章中提到的证书的软件供应商的详细信息可以在这里找到)

谷歌警告称存在一个未经授权的证书危害所有操作系统-2

分类
知识中心

我到底该不该用“影响搜索排名”的HTTPS?

谷歌宣布已调整搜索引擎算法,将是否使用HTTPS协议(安全加密)纳入搜索排名的参考因素中(详情可查看《谷歌:使用加密技术的网站将获得更好的排名》)。这是否意味着站长们应该把网站协议转换成HTTPS呢?实际上,这也许只是一个安全性的问题,与谷歌排名并无实质关联也不无可能。

HTTPS协议如何影响网站排名?

几年前,在谷歌宣布将网站加载速度作为网站排名的一个参考因素后。站长们纷纷响应号召,花尽心思提高自己网站的价值速度。对于用户来说,加载速度自是越快越好,因而对此亦是喜闻乐见。

当时,谷歌官方称“如果两个网站的各方面质量不相上下的话,网站加载速度更快的网站,将会获得更好的排名。”毕竟是有利于用户的访问体验,因而也算是一种搜索引擎的改良!

同理,鼓励站长们把HTTP转换为HTTPS协议也应该算是一种改进吧!就目前而言,使用HTTPS协议的网站仍未少数。因而若是使用HTTPS协议的网站似乎在搜索排名上真的占有很大的优势。

无关搜索排名,仅是安全性问题

目前来看,谷歌似乎已将实现“HTTPS everywhere”当成了一个目标。实际上,采用HTTPS协议确实可以让网站的安全性大大提高,但是HTTPS协议所针对的加密范围较为有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面却起不到什么作用。

从一定程度上来讲,HTTPS主要是用在银行、电商网站、以及社交网络等涉及用户隐私的网站上。而对于那些不要求用户登录的网站,使用HTTPS协议实属多此一举。所以,从这个角度来看,谷歌将“是否使用HTTPS协议”作为一个排名参考因素似乎另有目的呐。

据国外分析师表示:

谷歌之所以做出这一举动并非为了提高搜索质量,其主要目的是为了挽回在“棱镜门”丑闻中的“损失”。这是一个典型的打着“牺牲小我”旗号的利我之举。高举“安全影响排名”旗帜、高呼“HTTPS everywhere”口号,便可不费吹灰之力让广大站长们纷纷转向HTTPS协议。

那么,站长们该怎么做呢?

“到底该不该采用HTTPS协议呢?”如果也有这个疑问的话,就想想怎样做对你的用户更友好吧!

如果你的网站属于电子商务、金融、社交网络等领域的话,那最好是采用HTTPS协议;反之,如果是博客、宣传类网站、分类信息网站、抑或是新闻网站的话,大可不必跟风而行。你要知道,使用HTTPS协议既耗钱,又浪费精力,甚至在一定程度上不利于用户的浏览体验。切记,三思而后行啊!

总而言之,切勿为了排名而盲目跟风,网站优化的首要目标是用户,用户喜欢,好排名就不会那么难了!

分类
知识中心

从HTTP到HTTPS 搜索史上最大迁徙

当下,互联网、手机已经成为人们生活依赖度相当高的工具,但就像一把双刃剑,互联网也是一个“黑白”都存在的世界。近年来,用户数据泄露、流量劫持、页面篡改等安全事件频发,昨晚3.15晚会曝光了免费WiFi的安全问题就是一个典型的场景。对此,很多普通公众可能并不明白,为什么自己的访问行为和隐私数据突然会被“偷走”,域名没输错,结果却跑到了一个钓鱼网站上?

回答这个问题,就不得不提下HTTPS,很多人对此感觉陌生,因为互联网发展20多年,习惯了在浏览器地址里输入HTTP格式的网址。前不久,百度搜索引擎也启动了史上规模最大的一次“迁徙”,目标就是从HTTP切换到HTTPS上去,通俗来讲,就是用户搜索关键词的数据请求和页面访问,会增加一个“数据加密”的技术,中间一些“传输”过程都被加密和认证,第三方无法获取,这样就轻松化解了数据被劫持、篡改的隐患。

想一下,过去的互联网是一个单纯的娱乐、游戏、社交的虚拟空间,但随着移动互联网的兴起,特别是餐饮、电影、购物、金融理财,甚至是买汽车、租房、打车等生活服务,紧密地绑定在手机及网络上时,人们不仅是单一的获取信息,产品和服务的交易闭环也逐步成熟了。但这也进一步放大了数据安全、被劫持或泄露的风险。最近这两年,频频出现的欺诈、数据泄露往往会引发大的经济损失,也就是这个道理。

无疑,现在已经到了必须HTTPS化的时间了。

  HTTPS是个什么样的世界?

先看一下,百度这次都做了哪些工作。技术术语是全站HTTPS安全加密服务,即通过对传统HTTP通道添加SSL安全套接层,将所有百度搜索请求全部变成加密状态,以此解决“中间者”对用户隐私的嗅探和劫持,为网友提供安全可靠的上网和搜索环境。

那么,HTTPS究竟是一个什么样的世界呢?接下来先普及一下知识。可以模拟一下通过互联网访问网站或服务的场景,每个访问都是一次网络连接链条的“接力游戏”,传统HTTP模式下,搜索或访问请求通过“明文信息”,经过中间的代理服务器、路由器、wifi热点、服务运营商等“中间人”的通路,最终将数据或服务“取”回来。这个“中间”渠道就存在大量的数据泄露或劫持的风险,很多双眼睛都盯着,几乎步步惊心。HTTPS通过加密的形式,防止中途被劫持或篡改,规避了风险。

你可能会说,不就是做一个从HTTP到HTTPS的切换吗?其实,背后却是一个复杂的工程。拿百度来说,因为搜索几乎是百度最核心的“内核”,连接了图片、百科、知道、贴吧、Video、地图等几乎所有的产品,数亿的用户都会影响到,个性化推荐和千人千面的趋势更如此,这就成了一件浩瀚的工程,而且还必须保持业务的连续性,不能中断业务,稳定响应用户请求,复杂度几乎是难以想象的。所以,百度去年才会从小入手开始做小流量的测试,选择用户和应用负载小的入口开始。

那么,从技术角度看,难度主要体现在哪呢,类似IPV4到IPV6的升级。首先这是一次联合作战,涉及到的所有产品和部门技术联合作战,所有的链接资源都要切到HTTPS上,产生错误就会出现空白页或访问错误;二是速度优化,任何一个加密的过程,相当于多了一次SSL握手、RSA校验,耗时变长,性能降低,而搜索页面常态下保守也会有数十个资源链接,叠加在一起,会影响访问及响应速度;三是即使全网切换,也要做好HTTPS和HTTP的过渡和兼容,referer、cookie等数据如何保持一致,避免出现访问故障;四考虑到大多数网站,CDN的内容和应用的分发已是标配,这要求所有的CDN节点都支持HTTPS,如果非自建而是第三方,更增加了难度。

  百度为什么要迁移到HTTPS?

大家可能会有一个疑问,既然这么复杂的工程,涉及到巨大的投入和成本,还给产品和业务带来一定的风险,在国内大多数互联网企业纷纷“避开”时,百度凭什么敢“越雷池一步”呢?我们主要从微观和宏观两个层面探讨下。

微观层面,互联网是一个奇怪的世界,水面下总是暗流涌动,就算是技术很强悍的百度,每天有来自于全球的数十亿次的搜索请求,但其中不可避免地会有小部分的流量会遭劫持或篡改,由于区域分布散、广等特点,很难完全解决。更不要提一些小网站,所以圈儿里也有专门做流量劫持和贩卖的营生的。而反馈到用户前端,常见的现象很多,一个是搜索结果页被篡改或加载上广告,谋取商业利益;一个是比如用户刚搜了一个汽车,卖车的电话就找上门了。这都影响了用户的搜索体验,用户会误认为是百度泄露了数据,背了黑锅。这样灰色的利益链条很多,未来会高频发生。

宏观层面,未来的互联网、移动互联网越来越是一个服务交易的闭环链,意味着用户对技术的依赖度日益提升,需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。另一方面,未来会是一个网络链路日趋复杂的结构,WIFI热点的普及和移动网络的加入,放大了数据被劫持、篡改的风险。这两点与传统的HTTP的网络链路模式间的矛盾日益突出。

以上两个层面,决定了百度从核心搜索入手,进行HTTPS的大迁移,从长远看,这就成了一场攻坚战。

  平台迁移,应用层会更流畅过渡

其实,作为HTTP的安全版本,HTTPS并非是全新的。从全球来看,这绝对是巨头推动的工程,因为短期看是投入大、回报少,还会影响用户体验,但长期看,对产业的积极意义明显。与百度一样,谷歌去年开始,由搜索和Chrome浏览器挑头,推动往HTTPS协议的过渡,提醒网站明文传输的HTTP“不安全”。同样,Facebook、Twitter也陆续在做这样的尝试。早早规划HTTPS项目的百度这次大魄力推进,也是希望产业界认识到“HTTP = 不安全”的严重性。越是大企业,担负的也就越多,责任意识也就越强。

放眼中国,推进互联网HTTPS化,是一件关乎产业发展环境和生态的大事,就像空气和土壤一样,失去了这个,就动了根基。升级HTTPS需要联动,基础设施、网络架构、底层服务提供商都要同步转换,跨过所谓的缓存终结者、性能杀手等潜在矛盾。像BAT这样级别的企业,最应该及早动手,为产业未来搭建一个安全、稳定、可靠的网络环境。今天百度第一家站出来,敢于在核心搜索上“动手”,做出样板和参考出来,也做了一个好的示范。

互联网巨头站出来,更容易带动一批企业的整体切换,因为巨头往往搭的是平台和生态,上面跑着各种应用和服务提供商,只有平台进行“迁移”,应用层自然会流畅过渡。很多技术上的难题都容易化解。

当然,百度第一个吃螃蟹,难免要做一些开路先锋和修路搭桥的活儿,这或许也是其他同行们暂时观望的理由。但如果放在中国互联网和移动互联网的顶层设计高度看,这件事最终会惠泽产业和生态,就没理由只围观了。所以我们更期待看到在百度之后,更多的企业一起去推进完成HTTPS化的过程。

分类
知识中心

与HTTP有什么区别?HTTPS的六个误解

近日,百度全站开启了HTTPS加密搜索,从而引发了关于HTTPS的各种讨论:HTTPS和HTTP有什么区别、如何看待百度全面开启HTTPS加密搜索、HTTPS加密对网站有何影响等等……本文是一篇2011年的老文,但在“HTTPS协议”认知这一问题上还有很有价值的。

  • 百度已启用全站HTTPS加密搜索

以下为正文:

HttpWatch的官方网志刊登了一篇好文章,澄清了一些HTTPS协议容易产生误解的地方。学习之后,我增长了不少网页加密通信的知识。我觉得这篇文章很实用,值得留作参考,就翻译了出来。

HTTPS的六个误解

 

 

误解六:HTTPS无法缓存

许多人以为,出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。

微软的IE项目经理Eric Lawrence写道:

“说来也许令人震惊,只要HTTP头允许这样做,所有版本的IE都缓存HTTPS内容。比如,如果头命令是Cache-Control:max-age=600,那么这个网页就将被IE缓存10分钟。IE的缓存策略,与是否使用HTTPS协议无关。(其他浏览器在这方面的行为不一致,取决于你使用的版本,所以这里不加以讨论。)”

Firefox默认只在内存中缓存HTTPS。但是,只要头命令中有Cache-Control:Public,缓存就会被写到硬盘上。下面的图片显示,Firefox的硬盘缓存中有HTTPS内容,头命令正是Cache-Control:Public。

 

误解五:HTTPS站点必须有独享的IP地址

由于IPv4将要分配完毕,所以很多人关心这个问题。每个IP地址只能安装一张SSL证书,这是毫无疑问的。但是,如果你使用子域名通配符SSL证书(wildcard SSL certificate),就能在一个IP地址上部署多个HTTPS子域名。比如,https://www.httpwatch.com和https://store.httpwatch.com,就共享同一个IP地址。

 

另外,UCC(统一通信证书,Unified Communications Certificate)支持一张证书同时匹配多个站点,可以是完全不同的域名。SNI(服务器名称指示,Server Name Indication)允许一个IP地址上多个域名安装多张证书。服务器端,Apache和Nginx支持该技术,IIS不支持;客户端,IE7+、Firefox 2.0+、Chrome 6+、Safari 2.1+和Opera 8.0+支持。

误解四:转移服务器时要购买新证书

部署SSL证书,需要这样几步:

1. 在你的服务器上,生成一个CSR文件(SSL证书请求文件,SSL Certificate Signing Request)。

2. 使用CSR文件,购买SSL证书。

3. 安装SSL证书

这些步骤都经过精心设计,保证传输的安全,防止有人截取或非法获得证书。结果就是,你在第二步得到的证书不能用在另一台服务器上。如果你需要这样做,就必须以其他格式输出证书。

比如,IIS的做法是生成一个可以转移的.pfx文件,并加以密码保护。

 

将这个文件传入其他服务器,将可以继续使用原来的SSL证书了

误解三:HTTPS太慢

使用HTTPS不会使你的网站变得更快(实际上有可能,请看下文),但是有一些技巧可以大大减少额外开销。

首先,只要压缩文本内容,就会降低解码耗用的CPU资源。不过,对于当代CPU来说,这点开销不值一提。

其次,建立HTTPS连接,要求额外的TCP往返,因此会新增一些发送和接收的字节。但是,从下图可以看到,新增的字节是很少的。

 

第一次打开网页的时候,HTTPS协议会比HTTP协议慢一点,这是因为读取和验证SSL证书的时间。下面是一张HTTP网页打开时间的瀑布图。

 

同一张网页使用HTTPS协议之后,打开时间变长了。

 

建立连接的部分,大约慢了10%。但是,一旦有效的HTTPS连接建立起来,再刷新网页,两种协议几乎没有区别。先是HTTP协议的刷新表现:

 

然后是HTTPS协议:

 

某些用户可能发现,HTTPS比HTTP更快一点。这会发生在一些大公司的内部局域网,因为通常情况下,公司的网关会截取并分析所有的网络通信。但 是,当它遇到HTTPS连接时,它就只能直接放行,因为HTTPS无法被解读。正是因为少了这个解读的过程,所以HTTPS变得比较快。

误解二:有了HTTPS,Cookie和查询字符串就安全了

虽然无法直接从HTTPS数据中读取Cookie和查询字符串,但是你仍然需要使它们的值变得难以预测。

比如,曾经有一家英国银行,直接使用顺序排列的数值表示session id:

 

黑客可以先注册一个账户,找到这个cookie,看到这个值的表示方法。然后,改动cookie,从而劫持其他人的session id。至于查询字符串,也可以通过类似方式泄漏。

误解一:只有注册登录页,才需要HTTPS

这种想法很普遍。人们觉得,HTTPS可以保护用户的密码,此外就不需要了。Firefox浏览器新插件Firesheep,证明了这种想法是错的。我们可以看到,在Twitter和Facebook上,劫持其他人的session是非常容易的。

咖啡馆的免费WiFi,就是一个很理想的劫持环境,因为两个原因:

1. 这种WiFi通常不会加密,所以很容易监控所有流量。

2. WiFi通常使用NAT进行外网和内网的地址转换,所有内网客户端都共享一个外网地址。这意味着,被劫持的session,看上去很像来自原来的登录者。

以Twitter为例,它的登录页使用了HTTPS,但是登录以后,其他页面就变成了HTTP。这时,它的cookie里的session值就暴露了。

 

也就是说,这些cookie是在HTTPS环境下建立的,但是却在HTTP环境下传输。如果有人劫持到这些cookie,那他就能以你的身份在Twitter上发言了。

分类
网络新闻

全网HTTPS已不遥远,如何实现?

用Chrome打开百度发现网址前面多了一个“锁形”图标,查了下,百度在去年年底已启用全站HTTPS。支付宝等涉及交易、安全性极高的网站一直使用HTTPS,搜索引擎为何需要HTTPS呢?在安全问题层出不穷的今天,HTTPS变得非常必要,越来越多的网站都在给自己增加这个“锁”。那么,在互联网采取现行基础架构下,全网HTTPS有无可能?

为什么需要HTTPS

HTTP全名超文本传输协议,它是网络应用广泛使用的协议,客户端据此获取服务器上的超文本内容。客户端包括浏览器、PC软件客户端以及大部分手机App。超文本内容则以HTML为主,客户端拿到HTML内容后可根据规范进行解析呈现。因此,HTTP主要负责的是“内容的请求和获取”。

问题就出在这部分。行监控、劫持、阻挡。一些关键参数比如登录密码开发者会在客户端进行MD5加密,不过互联网所承载的机密信息远不只是密码,搜索内容同样属于敏感信息。

在没有HTTPS时,运营商可在用户发起请求时直接跳转到某个广告,或者直接改变搜索结果插入自家的广告。浏览器和安全软件可以监听用户搜索在结果页植入广告。一些中间人还可把用户数据直接转卖,这样你搜索了“保险”以后你就成了保险公司电话推销的目标。如果劫持代码出现了BUG,则直接让用户无法搜索,出现白屏。

不只是搜索引擎,其他的网络应用同样会面临这些问题:数据泄露、请求劫持、内容篡改等等,核心原因就在于HTTP是全裸式的明文请求,域名、路径和参数都被中间人们看得一清二楚。HTTPS做的就是给请求加密,让其对用户更加安全。对于自身而言除了保障用户利益外,还可避免本属于自己的流量被挟持,以保护自身利益。

尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击。不过HTTPS是现行架构下最安全的解决方案,并且它大幅增加了中间人攻击的成本。

HTTPS的代价是什么?

如果HTTPS更安全,为什么现在只有少部分网站采取了HTTPS呢?答案在于“S”的代价。去年底,卡内基梅隆大学的一份研究量化了“S”的代价:HTTPS会让页面加载时间增加了50%,增加10%到20%的耗电,此外,HTTPS还会影响缓存,增加数据开销和功耗,已有安全措施也会受到影响。

服务器资源、流量资源上付出更多成本。

HTTPS工作原理

开发者向证书管理机构申请证书需要付费,这无可厚非因为证书管理和升级需要成本。但对于中小型网站而言,这会成为障碍。除了证书这一固定成本之外,网页引入的资源如JS、CSS和图片文件均需要采取HTTPS,这些资源可能来自不同部门或者公司,需要进行对应处理。

还有HTTPS会增加服务器的计算和带宽成本。SSL层在TCP协议的握手流程上增加了几次握手,另外每一次请求都需要进行RSA校验计算,这都会给服务器造成更多计算压力。缓存效率的变低,支持HTTPS的CDN(内容发布网络)节点更少,这会增加流量成本。网络规模越大,计算和流量成本越高。

对用户同样会有影响,比如要求浏览器兼容HTTPS,部分情况可能还需要接受某个网站的证书,操作更复杂。HTTPS握手次数增加则会让请求有一定程度的延迟。不过,在光纤宽带普及的今天,这样的延迟基本已经感知不到。目前,网银、支付等安全性要求极高的工具已经普遍采取HTTPS被用户接受,这说明HTTPS普及最大的障碍还是在服务器端,即如何推动更多网站支持HTTPS。

如何推动HTTPS普及?

在海外,有数据统计,HTTPS流量已超过全网50%。相比国外而言,我国的HTTPS普及率还比较低,仅在支付、账号等领域有限的安全保护已无法满足网民需求。能否助力HTTPS在中国的进程,就要看像百度这样起示范作用的大公司的推动效应了。

1、搜索引擎作为内容入口,在HTTPS普及中做好内容引导。

百度已全站启用HTTPS,Google旗下服务包括搜索、日历、GMAIL等同样是全站HTTPS。搜索引擎作为内容入口,可以通过“引导”,推动HTTPS。一种方式是提升HTTPS的搜索排名权重;另一种方式是对没有采取HTTPS的网站进行“不安全”标记,或者对HTTPS网站进行认证标记。区别对待HTTP和HTTPS内容,给予不同的流量激励,引导站长转到HTTPS。

“HTTPS项目背后有着对众多技术难题的攻克,百度搜索从基础架构调试,到全部主域及子域名的修改,再到速度的优化,很好地解决了困扰多年的中间者劫持问题,”百度方面介绍,现在百度HTTPS安全加密已经覆盖主流浏览器,对用户的安全和隐私将形成一道完整的机制保护。

2、大公司承担更多责任,带头的同时做好各项扶持。

大型互联网公司首先应该自己转向HTTPS、主动付费购买证书,起到带头作用。还可赞助OPENSSL等技术研究机构,不断升级SSL技术,避免出现“心脏出血”这样的漏洞。当然,大公司还可以在SSL及HTTPS技术普及、开发资源、社区宣贯、媒体宣传上做更多努力。

3、免费SSL证书到来,清理掉HTTPS普及最大障碍。

Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大学研究人员宣布了 Let’s Encrypt CA项目,计划为网站提供免费 SSL 证书,加速将 Web 从 HTTP 过渡到 HTTPS。这个项目将在2015年夏天开始像网站提供和管理免费证书,并且降低证书安装复杂度,安装时间将降低到20-30秒。不过,要想获得更高级的复杂证书,还需要付费,这意味着大公司们依然需要花钱购买证书。这个计划可以帮助中小网站HTTPS普及。

4、浏览器区别对待HTTPS,做好内容处理和引导。

在HTTPS普及过程中,浏览器需要做好兼容性处理,比如更快地解析HTTPS协议、更简单地管理SSL证书,并且最好可以将HTTPS和SSL的复杂性隐藏起来,避免降低用户体验。另外,浏览器可以对HTTP和HTTPS网站进行区别标记和显著提醒,引导用户选择HTTPS内容。如果用户更亲睐选择HTTPS内容,自然会反过来促进站长们转向HTTPS,哪怕会付出一定代价。浏览器跟搜索引擎一样是内容入口,自然可以起到引导作用。

需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。升级HTTPS需要联动,基础设施、网络架构、底层服务提供商都要同步转换,跨过所谓的缓存终结者、性能杀手等潜在矛盾。就百度此次全站实行HTTPS安全加密来说,百度本身就比较技术范儿,做这件事也体现了大公司的社会责任及技术实力。百度全站支持HTTPS,意味着中国大公司对HTTPS的重视。接下来必将有更多大公司转向HTTPS,在中国互联网全网HTTPS中起好带头作用。

分类
网络新闻

如何看待百度全站搜索进入HTTPS时代?

百度自2014年底起,开始对部分地区开放了HTTPS加密搜索服务。直到上周,百度表示全站开启了HTTPS安全加密搜索。那么,该如何看待“百度全站采用HTTPS加密搜索”呢?

以下为来自知乎网友雷志兴-Berg的看法:

百度在工程开发上几乎不做没有性价比的事情。所以我们先看看https这个事情在技术上的投入在哪里。我没有参与此方面任何工作,都是根据我临时推想得到,比较乱,回头整理:

一、性能方面

1. 多几次握手,网络耗时变长,用户从http跳转到https还要一点时间

2. 机器性能,https要多做一次RSA校验

3. CDN,全国所有节点要支持https才行,另外,如果面对DDOS,https的解决方案也会复杂得多

二、对周边系统的影响

1. 页面里所有嵌入的资源都要改成https的,这些资源可能会来自不同的部门甚至不同的公司,包括:图片、js、form表单等等,否则浏览器就会报警。

2. 手机百度这类使用了百度搜索服务的客户端产品,也可能要修改

3. 解决第三方网站看不到refer的问题

4. 所有的开发、测试环境都要做https的升级

还有,上线前肯定是一大堆预案,保证切换过程顺畅,所以说下来,https这个事情的投入真心很大,不是说换就换的。

好了,这个事情的收益在哪里呢?用户的搜索安全

1. 被运营商强插广告,甚至在正常结果前面插一条广告

2. 有的时候劫持代码还会写错,导致用户访问白屏或者报错,妈蛋。

3. 手机上被浏览器或者什么卫士篡改或者劫持

4. 最恶心的是泄露用户数据,经常在网上看到说「我用百度搜了一个黄金,马上就有人联系我了」「我在百度上搜了一种病,马上医院就来电话了」

5. 另外,对百度的收入也有影响, 有不少公共wifi自动会自动给百度搜索加一个联盟的计费id。

其实在搜索HTTPS很久之前,百度就做了搜索结果url加密,我想应该是基于类似的考虑。

很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。

三、https够不够?

肯定是不够的,但是没有更好的方案了。

附录:为什么更安全的 HTTPS 协议没有在互联网上全面采用?

  • SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。
  • SSL证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。( SSL 有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展,考虑到 XP 的装机量,这个特性几乎没用。)
  • HTTPS 连接缓存不如 HTTP 高效,大流量网站如非必要也不会采用。流量成本太高。
  • HTTPS 连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS,基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。
  • HTTPS 协议握手阶段比较费时,对网站的相应速度有负面影响。如非必要,没有理由牺牲用户体验。
  • 最关键的,SSL 证书的信用链体系并不安全。特别是在某些国家(咳咳,你们懂的)可以控制 CA根证书的情况下,中间人攻击一样可行。

另外,在客户端被植入无数后门、木马的状况下,HTTPS 连接的作用非常有限。这也许是支付宝不可能像 PayPal 那么易用的原因之一。

分类
知识中心

HTTPS协议要比HTTP多用多少服务器资源?

近日,百度宣布全站开启HTTPS加密搜索。据官方表示,为解决“中间者”对用户隐私的嗅探和劫持等问题,百度将对传统HTTP通道添加SSL安全套接层,将所有百度搜索请求全部变成加密状态。

百度已启用全站HTTPS加密搜索

如何看待百度全站搜索进入HTTPS时代?

实际上,一些国际网站,比如维基百科,在启用HTTPS前先会考虑自己计算能力是否可以承载HTTPS。那么问题来了,HTTPS要比HTTP多用多少服务器资源?HTTPS其实就是建构在SSL/TLS之上的 HTTP协议,所以要比较HTTPS比HTTP多用多少服务器资源,主要看SSL/TLS本身消耗多少服务器资源。

HTTP使用TCP 三次握手建立连接,客户端和服务器需要交换3个包,HTTPS除了 TCP 的三个包,还要加上 ssl握手需要的9个包,所以一共是12个包。HTTP 建立连接,按照下面链接中针对Computer Science House的测试,是114毫秒;HTTPS建立连接,耗费436毫秒。ssl 部分花费322毫秒,包括网络延时和ssl 本身加解密的开销。

 

(服务器根据客户端的信息确定是否需要生成新的主密钥;服务器回复该主密钥,并返回给客户端一个用主密钥认证的信息;服务器向客户端请求数字签名和公开密钥)。

SSLhandshake latency and HTTPS optimizations. :: semicomplete.com

当SSL 连接建立后,之后的加密方式就变成了3DES等对于 CPU 负荷较轻的对称加密方式。相对前面 SSL 建立连接时的非对称加密方式,对称加密方式对 CPU 的负荷基本可以忽略不记,所以问题就来了,如果频繁的重建 ssl 的session,对于服务器性能的影响将会是致命的,尽管打开HTTPS 保活可以缓解单个连接的性能问题,但是对于并发访问用户数极多的大型网站,基于负荷分担的独立的SSL termination proxy就显得必不可少了,Web 服务放在SSL termination proxy之后。SSL terminationproxy既可以是基于硬件的,譬如F5;也可以是基于软件的,譬如维基百科用到的就是 Nginx。
那采用 HTTPS 后,到底会多用多少服务器资源,2010年1月 Gmail切换到完全使用HTTPS, 前端处理 SSL 机器的CPU 负荷增加不超过1%,每个连接的内存消耗少于20KB,网络流量增加少于2%。由于 Gmail 应该是使用N台服务器分布式处理,所以CPU 负荷的数据并不具有太多的参考意义,每个连接内存消耗和网络流量数据有参考意义。北京蓝汛经过实际模拟试验,认为一般情况下可以按照TPS下降10倍来估算,这个数据很有参考意义。
Heartbleed这个被称作史上最大的网络安全漏洞,想必很多人都有所耳闻,Heartbleed之所以能够出现,其实和我们这个问题关系还不小,前面我们谈到了频繁重建SSL/TLS的session对于服务器影响是致命的,所以聪明的RFC 在2012年提出了RFC6520 TLS 的心跳扩展。这个协议本身是简单和完美的,通过在客户端和服务器之间来回发送心跳的请求和应答,保活 TLS session,减少重建 TLS的session的性能开销。令人遗憾的是,openssl 在实现这个心跳扩展时,犯了一个低级的错误,没有对收到的心跳请求进行长度检查,直接根据心跳请求长度拷贝数据区,导致简单的心跳应答中可能包含了服务器端的核心数据区内容,用户名,密码,信用卡信息,甚至服务器的私有密钥都有可能泄露。心因为心跳保活的这个 BUG 在滴血,这个名字起的极度形象。
产品应用场景

所有基于HTTPS的应用加速,包括采用北京蓝汛ChinaCache证书的HTTPS应用,以及自有证书的HTTPS的电子商务、金融行业、社交网络;均可获得预期较好的加速效果。

北京蓝汛ChinaCache针对HTTPS应用加速拥有如下特点和优势:

高效数据加密算法:选择最优加密算法(对称加解密算法),对应用数据应用数据传输阶段进行加解密。
SSL会话复用:会话复用,提高设备服务能力,减少传输时间,减轻设备负载。
开源SSL协议库优化:在握手阶段连接建立阶段(非对称加解密算法),进行优化,缩短握手时间。
回源长连接:节点服务器与源站之间建立长连接,连续发送多个数据包。
私钥加密保护:对HTTPS的私钥进行加密,加密后进行分段存储,确保私钥安全性。
密钥管理:采用严格的密钥管理体制,将密钥和秘文分开存储,非明文存放,定期修改。

 

下面开始讲一个无聊的故事,和问题关系不大,时间紧张的看官可以到此为止了。

从前山上有座庙,庙里有个和尚……,别胡闹了,老和尚来了。

小和尚问老和尚:ssl为什么会让HTTP安全?

老和尚答道:譬如你我都有一个同样的密码,我发信给你时用这个密码加密,你收到我发的信,用这个密码解密,就能知道我信的内容,其他的闲杂人等,就算偷偷拿到了信,由于不知道这个密码,也只能望信兴叹,这个密码就叫做对称密码。ssl使用对称密码对HTTP内容进行加解密,所以让HTTP安全了,常用的加解密算法主要有3DES和AES等。

小和尚摸摸脑袋问老和尚:师傅,如果我们两人选择“和尚”作为密码,再创造一个和尚算法,我们俩之间的通信不就高枕无忧了?

老和尚当头给了小和尚一戒尺:那我要给山下的小花写情书,还得用“和尚”这个密码不成?想了想又给了小和尚一戒尺:虽然我们是和尚,不是码农,也不能自己造轮子,当初一堆牛人码农造出了Wifi的安全算法WEP,后来发现是一绣花枕头,在安全界传为笑谈;况且小花只知道3DES和AES,哪知道和尚算法?

小和尚问到:那师傅何解?

老和尚:我和小花只要知道每封信的密码,就可以读到对方加密的信件,关键是我们互相之间怎么知道这个对称密码。你说,我要是将密码写封信给她,信被别人偷了,那大家不都知道我们的密码了,也就能够读懂我们情书了。不过还是有解的,这里我用到了江湖中秘传的非对称密码。我现在手头有两个密码,一个叫“公钥”,一个叫“私钥”,公钥发布到了江湖上,好多人都知道,私钥嘛,江湖上只有我一个人知道;这两个密钥有数学相关性,就是说用公钥加密的信件,可以用私钥解开,但是用公钥却解不开。公钥小花是知道的,她每次给我写信,都要我的公钥加密她的对称密码,单独写一张密码纸,然后用她的对称密码加密她的信件,这样我用我的私钥可以解出这个对称密码,再用这个对称密码来解密她的信件。

老和尚顿了顿:可惜她用的对称密码老是“和尚为什么写情书”这一类,所以我每次解开密码纸时总是怅然若失,其实我钟意的对称密码是诸如“风花”“雪月”什么的,最头痛的是,我还不得不用“和尚为什么写情书”这个密码来加密我给小花回的情书,人世间最痛苦的事莫过于如此。可我哪里知道,其实有人比我更痛苦。山下的张屠夫,暗恋小花很多年,看着我们鸿雁传书,心中很不是滋味,主动毛遂自荐代替香客给我们送信。在他第一次给小花送信时,就给了小花他自己的公钥,谎称是我公钥刚刚更新了,小花信以为真,之后的信件对称密码都用张屠夫的这个公钥加密了,张屠夫拿到回信后,用他自己的私钥解开了小花的对称密码,然后用这个对称密码,不仅能够看到了小花信件的所有内容,还能使用这个密码伪造小花给我写信,同时还能用他的私钥加密给小花的信件。渐渐我发现信件变味了,尽管心生疑惑,但是没有确切的证据,一次我写信问小花第一次使用的对称密码,回信中“和尚为什么写情书”赫然在列,于是我的疑惑稍稍减轻。直到有一次去拜会嵩山少林寺老方丈才顿悟,原来由于我的公钥没有火印,任何人都可以伪造一份公钥宣称是我的,这样这个人即能读到别人写给我的信,也能伪造别人给我写信,同样也能读到我的回信,也能伪造我给别人的回信,这种邪门武功江湖上称之“Man-in-the-middle attack”。唯一的破解就是使用嵩山少林寺的火印,这个火印可有讲究了,需要将我的公钥及个人在江湖地位提交给18罗汉委员会,他们会根据我的这些信息使用委员会私钥进行数字签名,签名的信息凸现在火印上,有火印的公钥真实性在江湖上无人质疑,要知道18罗汉可是无人敢得罪的。

小和尚问:那然后呢?

老和尚:从嵩山少林寺回山上寺庙时,我将有火印的公钥亲自给小花送去,可是之后再也没有收到小花的来信。过了一年才知道,其实小花还是给我写过信的,当时信确实是用有火印的公钥加密,张屠夫拿到信后,由于不知道我的私钥,解不开小花的密码信,所以一怒之下将信件全部烧毁了。也由于张屠夫无法知道小花的对称密码而无法回信,小花发出几封信后石沉大海,也心生疑惑,到处打听我的近况。这下张屠夫急了,他使用我发布的公钥,仿照小花的语气,给我发来一封信。拿到信时我就觉得奇怪,信纸上怎么有一股猪油的味道,结尾竟然还关切的询问我的私钥。情知有诈,我思量无论如何要找到办法让我知道来的信是否真是小花所写。后来竟然让我想到了办法….

老和尚摸着光头说:这头发可不是白掉的,我托香客给小花带话,我一切安好,希望她也拥有属于自己的一段幸福,不对,是一对非对称密钥。小花委托小镇美女协会给小花公钥打上火印后,托香客给我送来,这样小花在每次给我写信时,都会在密码纸上贴上一朵小牡丹,牡丹上写上用她自己的私钥加密过的给我的留言,这样我收到自称是小花的信后,我会先抽出密码纸,取下小牡丹,使用小花的公钥解密这段留言,如果解不出来,我会直接将整封信连同密码纸一起扔掉,因为这封信一定不是小花写的,如果能够解出来,这封信才能确信来之于小花,我才仔细的解码阅读。

小和尚:难怪听说张屠夫是被活活气死的。您这情书整的,我头都大了,我长大后,有想法直接扯着嗓子对山下喊,也省的这么些麻烦。不过我倒是明白了楼上的话,ssl 握手阶段,就是要解决什么看火印,读牡丹,解密码纸,确实够麻烦的,所以性能瓶颈在这里,一旦双方都知道了对称密码,之后就是行云流水的解码读信阶段了,相对轻松很多。

分类
知识中心

HTTPS网站对百度和谷歌SEO有影响吗?

HTPPS跟HTTP有什么区别?

假设你的公司装了网络监控,那么你访问淘宝会被检测到,访问支付宝却不会。为什么?很简单,因为前者是http协议,无状态,而后者是https经过加密的。

HTTPS网站对百度和谷歌SEO有什么影响?

从“site”中我们可以看见百度只收录http,尽管做了301跳转;谷歌方面则收录了2个不同版本的页面,很明确的指明了我的主域名是哪个版本。另外收录情况也是大大不用。再看看它们在搜索结果里面的情况。

 

 现在就可以清楚的知道:https对google是没有丝毫影响的,不管是排名或者是收录。但是在baidu就明显行不通了,完全不收录https的站点,更别说排名。假如baidu没有发现你的http版本,那就是:抱歉,没有找到与“XX”相关的网页,就算是做了301,但是一个做了301的页面拿什么跟做了优化的对手网站竞争?

有时候一个网站因商业要求等先天条件必须要用到加密协议怎么办?

你主要市场的SE不支持https那一切都等于白搭了。所以最好清楚目标SE是什么态度,比如google那么你就可以不用理会了。

但是对于百度呢?

怎么处理或者避免这种情况发生置之不理。

一、直接复制一个http版本,https首页301到http

如一些特殊的网站,登陆后显示加密内容假如引用首页的话,可以在目录下复制一个首页,全部调用此目录,有需要可以在robots文件屏蔽掉。

二、站内外的链接一致采用http,有需要可以将之前的链接进行修改。

三、SE重新识别