TLS félelem, lustaság és rossz hírnév - JAXenter

rossz

"TLS? Lassan! HTTP2? Senkinek nincs szüksége rá! ”- Hülyeség, mondja Torsten Bøgh Köster W-JAX hangszóró: A TLS előrelép, hamarosan kötelező lesz a Chrome-ban és a Firefoxban, és a HTTP/2 használatának alapja. Az interjúban elmagyarázza, hogyan lehet felgyorsítani a TLS-konfigurációkat, és miért olyan jó kombináció a TLS a HTTP/2-vel együtt.

JAXenter: Mit kell elsősorban figyelembe venniük a fejlesztőknek, ha TLS-re szeretnék frissíteni a weboldalukat?

Torsten Köster: Itt különbséget kell tennie a tényleges TLS-konfiguráció (vagy SSL) és a webhely átmeneti folyamata között. A TLS konfigurációval el kell sajátítania a biztonságos konfiguráció és az idősebb kliensek támogatása közötti egyensúlyt. B. Windows XP. Első lépésként a weboldal HTTP és HTTPS verziója párhuzamosan működtethető. A HTTPS változat tesztelésével lehetőség van vegyes tartalmú figyelmeztetések, azaz olyan erőforrások tesztelésére, amelyeket még mindig nem biztonságos kapcsolatok integrálnak. Olyan nyomkövető rendszerek, mint a Google Analytics vagy az Új ereklye, jelöltek.

A TLS konfigurációval el kell sajátítania a biztonságos konfiguráció és az idősebb kliensek támogatása közötti egyensúlyt.

Egy bizonyos ponton el kell döntenie, hogy a HTTP forgalmat a HTTPS változatra irányítja. Itt olyan tisztán kell beállítania az átirányításokat a webszerveren, hogy csak egyetlen átirányítás induljon el az ügyfél számára. Ellenkező esetben a késés z. B. a mobil szektorban az átváltási arány rendkívüli csökkenéséhez vezet.

Most meg kell vizsgálnia a TLS-felmondás CPU-fogyasztását. A TLS felmondás CPU disznó. Bár ez is sokat javult. A nagy terhelésű webhelyekről érkező TLS problémamentesen megszüntethető a virtuális gépeken is. B. A HAProxy és az OpenSSL rendkívül hatékony.

JAXenter: A TLS híres arról, hogy lassú. Mit kell tennie a fejlesztőknek, hogy ez ne fordulhasson elő?

Torsten Köster: Mindenképpen beszálljon a beszélgetésembe. A dobozon kívüli TLS-konfigurációk általában lassúak és nem különösebben biztonságosak. A legnagyobb időveszteség a felesleges oda-vissza út a szerver és az ügyfél, vagy akár az ügyfél és a tanúsító hatóság között a tanúsítványok érvényesítése érdekében. Az összes TLS oda-vissza út kiküszöbölése érdekében z. B. Extra hitelesítési tanúsítványokat használnak (OCSP halmozás), és engedélyezik a protokollok előválasztását és a TLS korai indítását. Minden bevált technika.

JAXenter: Minden bájt értékes, különösen a mobil adatforgalom esetén. Mely speciális funkciókat kell figyelembe vennie a fejlesztőknek?

A mobil szektorban a titkosítás bármilyen formája sajnos kontraproduktív.

Torsten Köster: Sajnos a titkosítás bármilyen formája itt kontraproduktív, mert mindig megnöveli az adatforgalmat. De itt is a TLS diétázható és minimalizálható az oda-vissza út, és optimalizálható a TLS a remegő hálózatokban való használatra. Ha a csomagok gyakran elvesznek - mint a mobilhálózatokban - B. Van értelme csökkenteni az egy darabban titkosított keretek méretét.

JAXenter: Miért olyan jó kombináció a TLS és a HTTP/2?

Torsten Köster: A böngésző jelenlegi megvalósításaiban a TLS kötelező követelmény a HTTP2 használatához. Szükséges gonoszként kell foglalkozni a TLS témájával ...

JAXenter: A Let's Encrypt kezdeményezéssel valójában nincsenek olyan érvek, amelyek miatt az adatokat titkosítatlanul küldenék. De még mindig csak a hálózat töredéke van titkosítva. Miért gondolod, hogy így van?

Torsten Köster: Ez a félelem, a lustaság és a TLS rossz nevének keveréke lesz. A Shopping24 Internet Group-nál dolgozom, és termékkeresésként a felhasználók magas konverziós aránya rendkívül fontos számunkra. Ennek megfelelően hevesen remegtünk, amikor az első kliens átállt a TLS-re. És nem ok nélkül, mert a TLS konfigurációnk a kezdetekkor minden más volt, mint ideális. Most a TLS-bérlőknél jobb konverziós arányt érünk el, mint a néhány titkosítatlan bérlő esetében. A konverziós arány valószínűleg javulni fog a HTTP2 további bővítésével és a webkiszolgálók növekvő támogatásával.

Találkozz Torsten Bøgh Kösterrel a W-JAX 2016-on

A TLS biztonságra, sebességre és HTTP/2-re hangolását november 8-án, kedden 16:45 órakor tartják az „Atlanta” teremben.

Absztrakt:
"TLS? Lassan! HTTP2? Senkinek nincs szüksége rá! ”- Hülyeség! A TLS előrehaladott állapotban van, hamarosan kötelező lesz a Chrome-ban és a Firefoxban, és a HTTP/2 használatának alapja. A lassú TLS pletykája továbbra is fennáll, és az Apache, az nginx és az Co. számos szabványos telepítésén alapul. A Let's Encrypt elindításával a rendszeres SSL tanúsítványok mindenki számára elérhetőek. Ebben a munkamenetben (élő) frissítünk egy nem biztonságos webhelyet TLS-re és HTTP/2-re. Let's Encrypt tanúsítvánnyal dolgozunk. Ellenőrizzük és optimalizáljuk a TLS biztonsági szintjét és sebességét. Különösen a kezdeti TLS-kézfogás igényel némi optimalizálást a késleltetés és ezáltal a TTFB minimalizálása érdekében, különösen mobil kapcsolatok esetén. Az utolsó lépésben a weboldal kézbesítését HTTP/2-re emeljük.