TLS со Let; s Криптирајте го стравот, мрзеливоста и лошата репутација - трговска мрежа shopping24

Во ноември 2016 година имав можност да ги пријавам нашите искуства со подесување на SSL/TLS врски и употреба на сертификати Ајде да криптираме.

лошата

Во сесија за хакирање во живо, ги покажав чекорите што се неопходни за преместување на инстанцата AWS-EC2 опремена со HAProxy & Nginx од HTTP во TLS и потоа за активирање на HTTP/2. Пред говорот, JAXenter го спроведе следното интервју со мене на оваа тема.

JAXenter: Што главно треба да разгледаат развивачите ако сакаат да ја надградат својата веб-страница на TLS?

Торстен Кестер: Тука треба да направите разлика помеѓу вистинската TLS конфигурација (или SSL) и процесот на транзиција на веб-страницата. Со TLS-конфигурацијата мора да го совладате балансот помеѓу безбедна конфигурација и поддршка на постари клиенти. Б. Виндоус XP. За почеток, паралелно може да се работи со верзијата HTTP и HTTPS на веб-страница. Со тестирање на варијантата HTTPS, можете да тестирате за предупредувања за мешана содржина, односно ресурси што сè уште се интегрирани со несигурни врски. Системи за следење како Google Analytics или New Relic се кандидати.

Во одреден момент треба да одлучите да го насочите сообраќајот HTTP до варијантата HTTPS. Тука треба да ги поставите пренасочувањата во веб-серверот толку чисто што само едно пренасочување да се активира до клиентот. Инаку, латентноста z. Б. во мобилниот сектор доведуваат до крајно губење на стапките на конверзија.

Сега треба да ја разгледате потрошувачката на процесорот најдоцна за завршувањето на TLS. Прекинувањето на TLS е свиња од процесорот. Иако и тоа многу се подобри. TLS од веб-страници со голема оптовареност исто така може да се прекине на виртуелни машини без никакви проблеми. B. HAProxy и OpenSSL исклучително ефикасни.

"Со TLS-конфигурацијата мора да го совладате балансот помеѓу безбедна конфигурација и поддршка на постари клиенти."

JAXenter: TLS има репутација на бавен. Што треба да направат развивачите за да не се случи тоа?

Торстен Кестер: Дефинитивно влезете во мојот говор. Конфигурациите на TLS се надвор од кутијата, обично се бавни и не се особено безбедни. Најголемите губење на време се непотребни кружни патувања помеѓу серверот и клиентот или дури и помеѓу клиентот и органот за сертификација за да се потврдат сертификатите. За да ги елиминирате сите патувања околу ТЛС, z. B. Се користат дополнителни сертификати за валидација (редење на OCSP) и се овозможени префикси на протоколи и рано стартување на TLS. Сите испробани и тестирани техники.

JAXenter: Секој бајт е скапоцен, особено со сообраќајот на мобилни податоци. Кои посебни карактеристики треба да ги земат предвид програмерите?

Торстен Кестер: За жал, секоја форма на криптирање тука е контрапродуктивна, бидејќи секогаш го надувува сообраќајот на податоци. Но, и тука можете да ставите TLS на диета и да ги минимизирате кружните патувања и да ги оптимизирате TLS за употреба во разнишани мрежи. Ако пакетите често се губат - како во мобилните мрежи - Б. Има смисла да се намали големината на рамките шифрирани во едно парче.

JAXenter: Зошто TLS и HTTP/2 се толку добра комбинација?

Торстен Кестер: TLS е задолжителен услов за употреба на HTTP2 во тековните имплементации на прелистувачот. Како нужно зло треба да се занимавате со темата ТЛС ...

„Мешавина на страв, мрзеливост и лошата репутација на ТЛС“

JAXenter: Со иницијативата Ајде да криптираме, всушност нема аргументи зошто податоците се испраќаат некриптирани. Но, сепак само дел од мрежата е шифрирана. Зошто мислите дека е така?

Торстен Кестер: Willе биде мешавина од страв, мрзеливост и лошата репутација на TLS. Јас работам за трговската мрежа shopping24 и како пребарување производ, високата стапка на конверзија на нашите корисници е исклучително важна. Соодветно на тоа, треперевме насилно кога првиот клиент се префрли на TLS. И не без добра причина, затоа што нашата конфигурација на TLS беше сè друго, освен идеална на почетокот. Сега постигнуваме подобра стапка на конверзија кај станарите на ТЛС отколку кај неколкуте некриптирани станари. Стапката на конверзија веројатно ќе се подобри преку понатамошно ширење на HTTP2 и зголемената поддршка во веб-серверите.