解密亚洲诚信如何做到HTTPS的最佳安全实践
https://v.qq.com/x/page/d0519sbzuar.html
TTPS行业动态
2014年到2015年,Google、Baidu等搜索引擎优先收录了HTTPS网站。
2015年,Baidu、Alibaba等国内大型互联网公司陆续实现了全站HTTPS加密。
2016年,Apple强制实施ATS标准;微信小程序要求后台通信必须用HTTPS;美国、英国*机构网站实现全站HTTPS;国家网络安全法规定,网络运营者需要保护其用户信息的安全,并明确了相关法律责任。
2017年,Chrome、Firefox将标示HTTPS站点不安全。
HTTP/2的主流实现都要求使用HTTPS。TLS1.3即将发布,使HTTPS更快更安全。
HTTPS安全现状
HTTPS的安全现状仍是不容乐观。
如何让HTTPS更安全
证书选择
首先要考虑证书品牌,看它的兼容性、技术背景如何,口碑怎样,占有率是多少。
审核类型根据审核的强度分为了EV、OV、DV。商用站点最好是选择EV、OV。
从证书功能上来看,又分为单域名、多域名和通配符。而一般情况下,多域名和通配符容易增加风险,所以在能满足基本需求的情况下尽量选择单域名。
常见的证书算法有RSA、ECC等。ECC是目前更安全、性能更高的一种算法。
优化配置
完善证书链,提升兼容性。
启用安全协议版本,弃用不安全协议版本。
选用安全性能好的套件组合,弃用一些有安全漏洞或加密强度不高的套件组合。
利用Session ID和Session Ticker实现会话恢复。
漏洞修复
通过调整加密协议、加密套件或升级SSL服务端等措施得到修复。
安全加固
HSTS:浏览器实现HTTPS强制跳转,减少会话劫持风险。
HPKP:指定浏览器信任的公钥,防止CA误发证书而导致中间人攻击。
CAA:通过DNS指定自己信任的CA,使CA避免误发证书。
OCSPStapling:服务端SSL握手过程直接返回OCSP状态,避免用户向CA查询,保护用户隐私。
MySSL——HTTPS安全评估
HTTP安全概览
HTTP配置建议
1、配置符合PFS规范的加密套件。
2、在服务端TLS协议中启用TLS1.2。
3、保证当前域名与所使用的证书匹配。
4、保证证书在有效期内。
5、使用SHA-2签名算法的证书。
6、保证证书签发机构是可信的CA机构。
7、HSTS的max-age需要大于15768000秒。
MySLL——HTTPS最佳安全实践
我的分享到此结束,谢谢大家!
推荐阅读
-
35 岁实现财务*,腾讯程序员手握2300万提前退休?-1000万房产、1000万腾讯股票、加上300万的现金,一共2300万的财产。有网友算了一笔账,假设1000万的房产用于自住,剩下1300万资产按照平均税后20-50万不等进行计算,大约花上26-60年左右的时间才能赚到这笔钱。也就是说,普通人可能奋斗一辈子,才能赚到这笔钱。在很多人还在为中年危机而惶惶不可终日的时候,有的人的35岁,就已经安全着陆,试问哪个打工人不羡慕?但问题是有这样财富积累必然有像样的实力做靠山。没有人可以不劳而获。 看到这里,肯定有人说,那么对于普通人来说,卷可能真就成了唯一的出路。但是卷也有轻松的卷,“偷懒”的卷法,对于程序员而言,刨除掉一时无法改掉的开会传统占用的大部分时间,如何把有限的时间和精力放在真正重要的架构设计、需求设计上,而不是重复的造*,编码、改bug、手动测试。因此在科技改变生活的今天,学会使用AI工具成为程序员们的必备技能。 以全栈式全自动的软件开发工具飞算SoFlu软件机器人为例,作为全球首款面向微服务架构设计和最佳实践的软件机器人,SoFlu软件机器人改变了原来手工编码的作业模式,通过可视化拖拽方式以及参数配置就能实现等同于编写复杂代码的业务逻辑,在设计业务逻辑时就完成了微服务应用开发,做到“业务即图,图即代码”,实现“软件开发,十倍提效”。 而作为飞算SoFlu软件机器人的一个重要组成部分,FuncGPT(慧函数)支持所有类型函数创建。通过自然语言描述Java函数需求,实时生成高质量、高可读性的Java函数代码。生成代码可直接复制到IDEA,或一键导入Java全自动开发工具函数库。 FuncGPT(慧函数)具有五大核心能力: ● 自然语言:通过自然语言即可生成函数,降低软件开发门槛。 ● 秒级函数开发:全自动秒级开发函数,秒级完成,效率千倍提升。 ● 一站式函数开发应用:函数生成即可直接应用,效率、安全有保障。 ● 质量可靠:生成的函数代码符合业界规范、具备良好的可读性,符合最优解。 ● 灵活生成:可以根据开发人员的具体需求生成并支持调整和修改。 以“将文件流转换为File对象”这个需求为例,以下是FuncGPT(慧函数)秒级生成的代码: / 类名:FileConverter // 函数名:convertStreamToFile // 函数功能:将文件流转换为File对象 // POM依赖包:无 import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; public class FileConverter { /** * 将文件流转换为File对象 * @param inputStream 文件流 * @param filePath 文件路径 * @param fileName 文件名 * @return 转换后的File对象 * @throws IOException 如果发生I/O异常 */ public static File convertStreamToFile(InputStream inputStream, String filePath, String fileName) throws IOException { File file = new File(filePath + File.separator + fileName); // 创建File对象 try (FileOutputStream outputStream = new FileOutputStream(file)) { // 创建文件输出流 byte buffer = new byte[1024]; int bytesRead; while ((bytesRead = inputStream.read(buffer)) != -1) { // 从文件流读取数据并写入文件 outputStream.write(buffer, 0, bytesRead); } } return file; // 返回转换后的File对象 } } // 函数示例 // 将文件流转换为File对象示例 // 入参:inputStream,文件流 // 入参:filePath,文件路径 // 入参:fileName,文件名 // 出参:file,转换后的File对象 // 调用示例: // InputStream inputStream = new FileInputStream("example.txt"); // String filePath = "C:\\Users\\User\\Documents"; // String fileName = "example.txt"; // File file = FileConverter.convertStreamToFile(inputStream, filePath, fileName); // System.out.println(file.getAbsolutePath); // 输出结果:例如,将文件流转换为File对象后,文件的绝对路径为:C:\Users\User\Documents\example.txt // 则输出结果为:C:\Users\User\Documents\example.txt 通过分析,不难发现以上代码:
-
解密亚洲诚信如何做到HTTPS的最佳安全实践