TLS a Let; s Titkosítsa a félelmet, a lustaságot és a rossz hírnevet - shopping24 kereskedelmi hálózat

2016 novemberében alkalmam volt beszámolni az SSL/TLS kapcsolatok hangolásával és a Let's Encrypt tanúsítványok használatával kapcsolatos tapasztalatainkról.

félelmet

Élő hackelés során bemutattam azokat a lépéseket, amelyek szükségesek ahhoz, hogy a HAProxy & Nginxszel felszerelt AWS-EC2 példányt HTTP-ről TLS-re frissítsük, majd aktiváljuk a HTTP/2-t. A beszélgetés előtt a JAXenter a következő interjút készítette velem a témában.

JAXenter: Mit kell elsősorban figyelembe venniük a fejlesztőknek, ha TLS-re szeretnék frissíteni a weboldalukat?

Torsten Köster: Itt különbséget kell tennie a tényleges TLS-konfiguráció (vagy SSL) és a webhely átmeneti folyamata között. A TLS konfigurációval el kell sajátítania a biztonságos konfiguráció és az idősebb kliensek támogatása közötti egyensúlyt. B. Windows XP. Első lépésként a weboldal HTTP és HTTPS verziója párhuzamosan működtethető. A HTTPS változat tesztelésével lehetőség van vegyes tartalmú figyelmeztetések, azaz olyan erőforrások tesztelésére, amelyeket még mindig nem biztonságos kapcsolatok integrálnak. Olyan nyomkövető rendszerek, mint a Google Analytics vagy az Új ereklye, jelöltek.

Egy bizonyos ponton el kell döntenie, hogy a HTTP forgalmat a HTTPS változatra irányítja. Itt olyan tisztán kell beállítania az átirányításokat a webszerveren, hogy csak egyetlen átirányítás induljon el az ügyfél számára. Ellenkező esetben a késés z. B. a mobil szektorban az átváltási arány rendkívüli csökkenéséhez vezet.

Most meg kell vizsgálnia a TLS-felmondás CPU-fogyasztását. A TLS felmondás CPU disznó. Bár ez is sokat javult. A nagy terhelésű webhelyekről érkező TLS problémamentesen megszüntethető a virtuális gépeken is. B. A HAProxy és az OpenSSL rendkívül hatékony.

"A TLS konfigurációval el kell sajátítania a biztonságos konfiguráció és az idősebb kliensek támogatása közötti egyensúlyt."

JAXenter: A TLS híres arról, hogy lassú. Mit kell tennie a fejlesztőknek, hogy ez ne fordulhasson elő?

Torsten Köster: Mindenképpen jöjjön a beszélgetésembe. A dobozon kívüli TLS-konfigurációk általában lassúak és nem különösebben biztonságosak. A legnagyobb időveszteség a felesleges oda-vissza út a szerver és az ügyfél, vagy akár az ügyfél és a tanúsító hatóság között a tanúsítványok érvényesítése érdekében. Az összes TLS oda-vissza út kiküszöbölése érdekében z. B. Extra hitelesítési tanúsítványokat használnak (OCSP halmozás), és engedélyezik a protokollok előválasztását és a TLS korai indítását. Minden bevált technika.

JAXenter: Minden bájt értékes, különösen a mobil adatforgalom esetén. Mely speciális funkciókat kell figyelembe vennie a fejlesztőknek?

Torsten Köster: Sajnos a titkosítás bármilyen formája itt kontraproduktív, mert mindig megnöveli az adatforgalmat. De itt is a TLS diétázható és minimalizálható az oda-vissza út, és optimalizálható a TLS a remegő hálózatokban való használatra. Ha a csomagok gyakran elvesznek - mint a mobilhálózatokban - B. Van értelme csökkenteni az egy darabban titkosított keretek méretét.

JAXenter: Miért olyan jó kombináció a TLS és a HTTP/2?

Torsten Köster: A böngésző jelenlegi megvalósításaiban a TLS kötelező követelmény a HTTP2 használatához. Szükséges gonoszként kell foglalkozni a TLS témájával ...

"A félelem, a lustaság és a TLS rossz hírnevének keveréke"

JAXenter: A Let's Encrypt kezdeményezéssel valójában nincsenek olyan érvek, amelyek miatt az adatokat titkosítatlanul küldenék. De még mindig csak a hálózat töredéke van titkosítva. Miért gondolod, hogy így van?

Torsten Köster: Ez a félelem, a lustaság és a TLS rossz hírnevének keveréke lesz. Dolgozom a shopping24 kereskedelmi hálózatban, és termékkeresésként rendkívül fontos a magas konverziós arány felhasználóink ​​számára. Ennek megfelelően hevesen remegtünk, amikor az első kliens átállt a TLS-re. És nem ok nélkül, mert a TLS konfigurációnk a kezdetekkor minden más volt, mint ideális. Most a TLS-bérlőknél jobb konverziós arányt érünk el, mint a néhány titkosítatlan bérlő esetében. A konverziós arány valószínűleg javulni fog a HTTP2 további bővítésével és a webkiszolgálók növekvő támogatásával.