大型网站HTTPS部署实践点拨

战学超 2017-07-20 10:42:54

作者介绍

战学超青航数据架构师。曾任职于NEC软件、海尔B2B平台巨商汇,负责企业数据平台构建、B2B电商平台数据管理与搭建。拥有丰富DBA、系统运维架构经验,擅长数据库、数据平台搭建、私有云部署、自动化运维等。

 

 
 
 

一、HTTPS简介

 
 
 

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer)是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTP协议传输的数据是未加密的明文,因此使用HTTP协议传输隐私信息非常不安全。为了保证隐私数据能加密传输,网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。

 

SSL目前的版本是3.0,被IETF(Internet Engineering Task Force)定义在RFC 6101中,之后IETF对SSL 3.0进行了升级,于是出现了TLS(Transport Layer Security) 1.0,定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议,但是由于SSL出现的时间比较早,并且依旧被现在浏览器所支持,因此SSL依然是HTTPS的代名词,但无论是TLS还是SSL都是上个世纪的事情,SSL最后一个版本是3.0,今后TLS将会继承SSL优良血统继续为我们进行加密服务。目前TLS的版本是1.2,定义在RFC 5246中,暂时还没有被广泛的使用。

 

但是网站使用了HTTPS加密之后,有朋友提出使用F12还能看到用户名密码,例如:

 

 

这是因为HTTPS(SSL)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。及时数据在传输过程中被抓包,由于是加密数据也难以破解,从而保护数据在传输过程中的安全性。

 

其实除HTTPS加密之外,还有控件加密,用户需要下载安全控件才能输入密码,这在银行系统,支付宝页面都会经常遇到:

 

 

通过加密控件可以解决在应用层的http post的明文密码。

 
 
 
 

二、HTTPS的工作原理

 
 
 

 

HTTPS是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密、解密、验证的,且看下图:

 

 

1.客户端发起HTTPS请求

 

首先客户端发起一个HTTPS的请求给服务器端,并且将浏览器自己支持的一套加密规则一起发送给服务端。

 

2.服务端证书配置

 

采用HTTPS协议的服务器端要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书一般不会弹出提示页面。这套证书其实就是一对公钥和私钥。一般情况下可以快速申请免费的ssl证书,而尽量避免自己生产证书。

 

服务端接收到客户端的HTTPS请求后,会选择出一种加密算法和HASH算法,以证书的形式返回给客户端,证书还包含了公钥、颁证机构、网址、失效日期等信息。

 

3.传送证书

 

服务器端将证书信息传送会客户端。

 

4.客户端解析证书

 

这部分工作是由客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随即值。然后用证书对该随机值进行加密,一般证书验证通过后,在浏览器的地址栏会加上一把小锁。

 

5.传送加密信息

 

这部分传送的是客户端用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密。

 

6.服务端解密信息

 

服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够复杂,私钥够复杂,数据就够安全。

 

7.传输加密后的信息

 

这部分信息是服务端用私钥加密后的信息,可以在客户端被还原。

 

8.客户端解密信息

 

客户端用之前生成的私钥解密服务端传过来的信息,获取了解密后的内容。因为这串密钥只有客户端和服务端知道,所以即使中间请求被拦截、数据被抓包也是没法解密数据的,以此保证了通信的安全。

 

 
 
 

三、SSL证书选择指南

 
 
 

SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。CA机构颁发的证书有3种类型:

 

  • 域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站。

  • 企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高。

  • 增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。

     


 

此外还可以自动生成自签名证书,自签名证书一般不会被浏览器验证通过,所以很少在生产环境中出现,一般在内部测试环境经常用到。

 

一般情况下不同的证书,认证等级、显示图标不同,在域名的支持下、价格、保额费用上也不同:

 

 

SSL证书厂商的选择这里不再做过多推荐,总的原则是越大的厂商越可靠。选择的厂商一定要提前调查好是否被信任。 如之前的沃通事件就导致很多公司联系沃通更换新证书后才被浏览器继续信任。

 

 
 
 

四、部署网站HTTPS

 
 
 

正式购买后如何不是证书到网站,实现HTTPS访问呢?

首先在购买证书的时候,证书厂商都会在其帮助文档中详述证书部署指南,一般来说按照帮助文档一步一步部署即可。

 

 

一般会有Apache、IIS、Nginx、Tomcat等多种部署方式,这里以Nginx为例做简单介绍。

 

首先是证书的申请和下载。作者个人自己网站的正式是通过腾讯云提供的免费SSL正式申请服务申请的:

 

 

下载后如下:

 

 

在Nginx的部署目录下的conf下建立sslkey文件夹,将上述下载后的Nginx文件下的1_www.fineops.com_bundle.crt 和2_www.fineops.com.key两个文件上传到sslkey中。修改nginx.conf文件,按照腾讯云帮助文档操作即可。

 

这里需要注意,一般证书部署后,需要设置一些http自动跳转到https,这一般在帮助文档中不会有。可以采用以下几种方式:

 

  • rewrite的方式: rewrite ^(.*)$  https://$host$1 permanent;  

  • nginx的497状态码:error_page 497  https://$host$uri?$args;  

  • 首页的meta的刷新:

  • <meta http-equiv="refresh" content="0;url=https://test.com/">  (未实践过)

 

我们这里采用了proxy_redirect的方式,在nginx中配置:proxy_redirect http://www.fineops.com:443/ https://www.fineops.com/;实现自动跳转至https。

 

 
 
 

五、总结

 
 
 

HTTP转HTTPS是趋势,技术也相对比较成熟。但是使用HTTPS之后,由于比HTTP多几次握手和加解密的过程,所以对网站的性能会有一定的下降。另外部署证书的服务器一定要升级openssl,提高TSL版本,避免中间人攻击利用等。

 

在HTTP转HTTPS的过程中,主要注意页面跳转、第三方接口、静态资源CDN等方面在转HTTPS之后的测试,确保跳转和加载没有问题。

活动预告