广 告 位 招 租 QQ:527116945
当前位置: 首页 » SEO » seo » 正文

seo在线培训

放大字体  缩小字体 发布日期:2022-05-24 01:36:19  来源:seo在线培训  作者:le  浏览次数:0
核心提示:seo在线培训-HTTPS安全协议改造案例分享今天和朋友们分享一下HTTPS安全协议部署之HPKP头部署,本篇内容转载自百度安全指数,在网

seo在线培训-HTTPS安全协议改造案例分享

今天和朋友们分享一下HTTPS安全协议部署之HPKP头部署,本篇内容转载自百度安全指数,在网站安全方面的学习和理解也是seo优化当中比较重要的内容。这篇内容的正文部分如下:

HPKP作用

互联网的信任机制完全依赖于CA(证书颁发机构)厂商颁发的证书,而任意一个CA厂商都可以签发任意一个域名的证书,导致攻击者可以从CA厂商(可以参考CA厂商入侵史)开始入手。因此需要使用白名单的方式来选择信任的CA,公钥扎钉public key pinning技术的出现,可以允许你强制指定签发证书的CA,只有指定的CA为你的域名签发的证书才能使用。

目前该技术有三种实现方式,DANE(基于DNSSEC)、HTTP公钥扎钉和TACK(证书密钥可信保证),HTTP公钥钉扎是使用最多的。

HPKP部署

通过在加密的HTTP响应中包含

Public-Key-Pins 来实现公钥钉扎,例如:

全网部署

CA厂商入侵史

2001年1月,VerSign被社工欺骗签发了两张Microsoft Corporation代码签名证书用于在windows平台安装恶意软件。

2008年 6月,Thawte 被安全研究人员Mike Zusman发现可以绕过其证书所有权验证流程,获得login.love.com的证书,而login.love.com是Microsoft的单点登陆验证中心,有几百万用户。

2008年10月,StartCom被安全研究人员Mike Zusman发现可以绕过其证书所有权验证流程,可以为任意域名申请证书,但由于他申请了paypal.com和verisign.com的证书触发了StartCom高危网站黑名单被发现了此次攻击并在几分钟之内吊销了所有非法签发的证书。

2008年10月,CertStart(Comodo丹麦合作伙伴)被StartCom的CEO&COO Eddy Nigg发现该中心可以在没有进行域名所有权验证的情况下给申请者签发任何域名的证书,他获得了startcom.org和mozilla.org的证书。

2008年,Alex Sotirov和Marc Stevens 通过使用MD5碰撞攻击(两张完全不一样的证书,但却拥有相同的MD5散列值,即相同的签名),使用自己伪造的CA证书来生成任何网站的有效证书,而RapidSSL由于签发过程完全自动化加上不是采用随机序列号导致整个攻击过程顺利实施,后续他们加速将SHA1升级到SHA256来修复这个问题。

2011年3月,Comodo多家合作签发机构被入侵,导致Comobo颁布除非过了Comodo的验证,否则所有代理商都不能够签发证书2011年6月,StartCom 被入侵,导致签发服务暂停长达一周。

2011年,DigiNotar(荷兰)被完全入侵,伪造的证书在互联网上被使用,导致DigiNotar的根证书被吊销,公司2011年9月份破产。

2011年11月,DigiCert Sdn. Bhd.(马来西亚一家与CyberTrust(Verizon)和Entrust有合作关系的中间证书颁发机构)被发现22张证书存在弱密钥问题,后续被吊销。

2012年5月,火焰病毒(flamer或Skywiper)针对Microsoft 的CA证书采用了MD5碰撞攻击来攻击windows update的代码签名机制,影响了整个中东网络。

2012年12月,TURKTRUST(土耳其)由于管理失误下发两张二级CA证书,其中一个被用于防火墙来进行中间人监控,而被google的扎钉扎技术发现。

2013年12月, ANSSI(法国的网络信息安全局)颁发的二级CA证书被用于该机构中间人监控设备中,而被google的钉扎技术发现并宣布吊销其签发的二级证书,并限制只能签发法国地区域名(.fr)的证书

2014年7月,NIC(印度国家信息中心)的二级CA(NICCA)被入侵,伪造签发了很多google和yahoo的域名证书,后续有问题的中间证书被吊销,该机构也被停止了证书签发,该机构的根证书机构被限制只能签发几个印度(.in)的子域名。

seo在线培训-SEO相关(1)

之前和朋友们分享了一篇《提升网站安全的HTTPS协议安全部署策略解析》的内容,介绍了一下HTTPS安全部署的相关内容。今天的主题主要分享的是HTTPS安全部署之HSTS头部部署策略,正文部分转载自百度安全指数,内容如下:

HSTS作用

HTTP严格传输安全(HTTP Strict transport security,HSTS),配置浏览器对整个域名空间使用HTTPS来加密,它具备以下优点:

1. HSTS可以禁止浏览器使用无效证书(浏览器的默认策略是让用户决定是否放行,而用户往往因为不能区分无效是因为配置问题还是攻击而选择继续访问从而导致遭受网络攻击)

2. HSTS对以下情况可以仍然保持HTTPS通信:

用户保存了原始网站的书签

不安全的cookie

HTTPS 剥离攻击

网站内容混布,但需配合CSP(内容安全策略)

HSTS部署

通过在加密的HTTP响应中包含

Strict-Transport-Security头来实现网站HSTS,例如

最佳的部署方案是部署在离用户最近的位置,例如架构有前端反向代理和后端web服务器,在前端代理处配置HSTS是最好的,否则就需要在web服务器层配置HSTS。如果web服务器不明确支持HSTS,可以通过增加响应头的机制,但需要阅读各种服务器的附属细则。如果其他方法都失败了,可以在应用程序层增加HSTS。

Apache

#启用HTTP严格传输安全

#HSTS策略只能在加密通道的HTTP响应中进行设置,因此需要把http重定向到https,如果明文响应中允许设置HSTS头,中间人攻击者就可以通过在普通站点中注入HSTS信息来执行DoS攻击

IIS

第三方模块 http://hstsiis.codeplex.com/

Nginx

注意:addheader指令只会将HTTP头添加到非错误响应中(2xx和3xx)

更多部署方法请参考:https://linux.cn/article-5266-1.html

全网部署

seo在线培训-SEO相关(2)

现在越来越多的站长朋友都非常的关注HTTPS安全协议的改造方法,这是有效提升网站安全性及用户信任度的直接有效的技术操作。今天转载一篇来自百度站长平台发布的内容,标题为《去哪网HTTPS改造分享》,通过这篇内容可以很详细的看出HTTPS安全协议的改造流程。具体内容如下:

https大大改善了网站的安全性,减少了流量劫持,越安全的网站对用户越有益。即便是https改造有些难度,也应当大力推进https的改造。下面我们特邀了去哪网的同学进行了关于https改造的分享!(本文作者:去哪儿高级工程师 欧阳何顺、去哪儿网SEO负责人 吕令建)

一、理解HTTPS

先不聊HTTP和HTTPS的区别,从聊天软件说起,假设我们要实现A能发一个hello消息给B,如果我们要实现这个聊天软件,只考虑安全性问题,要实现A发给B的hello消息包,即使被中间人拦截到了,也无法得知消息的内容。

那么,如何做到真正的安全呢?目标是A与B通信的内容,有且只有A和B有能力看到通信的真正内容,为了防止内容被第三方窃取,发送方可以通过密钥S对聊天内容进行加密,接收方在收到聊天内容之后,再用密钥S解密聊天内容,只要密钥不公开给第三者,同时密钥S足够安全,我们就可以保证只有A与B知道聊天内容。

二、HTTPS的优缺点

优点

SEO方面:谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。

安全性:尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:

使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性;

HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

缺点

SEO方面:据ACM CoNEXT数据显示,使用HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电,此外,HTTPS协议还会影响缓存,增加数据开销和功耗,甚至已有安全措施也会受到影响也会因此而受到影响。

经济方面:SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用;

HTTPS连接缓存不如HTTP高效,大流量网站如非必要也不会采用,流量成本太高;

HTTPS连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本,如果全部采用HTTPS,基于大部分计算资源闲置的假设的VPS的平均成本会上去;

HTTPS协议握手阶段比较费时,对网站的相应速度有负面影响,如非必要,没有理由牺牲用户体验。

三、支持HTTPS的方式

增加HTTPS的支持需要在nginx或者tomcat上增加证书(证书需要ops来购买),两种方法只需要选用其中一种。我们选择了通过nginx配置证书的方式来做HTTPS支持的事情。原因是这种方式可以通过ops统一配置证书,不需要在每台服务器上依次配置HTTPS证书,能提升配置效率。

通过tomcat配置证书

在开发环境里时,需要自己来生成证书:1、生成证书;2、找到java的目录;3、生成一个证书。

keytool -v-genkey -alias tomcat -keyalg RSA -keystore ~/keystore

记住生成证书时的密码

在tomcat的conf/server.xml 配置里增加connector

譬如,我的是server.xml

使用这种方法,直接用request.getSchmeme()能够看到https

通过nginx配置证书

在已经购买好证书的前提下,可以通过以下方式配置证书。

nginx配置

在java中通过X-Real-Scheme或dj-sch获取当前协议

SchemeUtil.java

四、代码涉及的改动

页面请求的静态资源

js && css

后台将jsp中域名为http://*.quanrzz.com 的js,css链接改为 //*.qunarzz.com

图片

将jsp和java工程中给出的图片url进行修改(原因是当前实用的图片服务器不能同时支持http和https),图片的http和https域名对应关系如下:

接口

内部接口:修改接口返回的url,统一格式为://xxx.xx.xx/;

图片url会根据服务请求端的协议做自适应,比如:用户以https协议请求服务,接口返回的图片url对应的协议也是https。图片url不以“//xxx.xx.xx/”形式返回的原因是android和ios默认不支持展示不带协议的图片。

外部接口:当调用其他业务线的一些接口不支持https时,我们的处理方式是通过代理接口来调用这些外部接口。五、遇到的问题及处理方案

nginx上对443端口的请求在header里添加https标记,需要和后端保证一致;

用户中心个别的css和js在https环境下需要在引入时标记css/js=ssl;

同一个域名下面,部分内部调用的接口,是不需要支持https的,因此在做nginx转发的时候,需要针对这些uri做特殊处理。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
 

关键词: seo在线培训
 
推荐图文
最新热点文章