地热卡钉厂家
免费服务热线

Free service

hotline

010-00000000
地热卡钉厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

网络安全iOS提高安全门槛HTTPS该升了吗

发布时间:2020-07-21 18:42:37 阅读: 来源:地热卡钉厂家

两周前,苹果在发布会上宣布苹果持续将iOS9的文件发送给开发者,确保iOS9推出时相关App都已准备就绪。这些文件的资讯,包括一个叫做AppTransportSecurity(ATS)的安全功能。它要求所有进入到iOS9装置的资讯,都必须经过HTTPS加密设定。这样可以防止黑客窥探用户进行网路传输的资料 [正文]

两周前,苹果在发布会上宣布苹果持续将iOS9的文件发送给开发者,确保iOS9推出时相关App都已准备就绪。这些文件的资讯,包括一个叫做AppTransportSecurity(ATS)的安全功能。它要求所有进入到iOS9装置的资讯,都必须经过HTTPS加密设定。这样可以防止黑客窥探用户进行网路传输的资料。

此消息一出,引发了网友与业界的热烈讨论,Google发文表示:“虽然Google认同产业采用HTTPS,但对于经过我们系统的第三方广告网络和创新程式码而言,却不见得完全认同此想法。”无论如何,苹果此举多少都算是为移动端数据安全设立了一个更高的新“门槛”。

因此,除了广告商,一大批依旧采用HTTP的移动互联网企业都需要加快步伐,在近期作出是否要切换成HTTPS的抉择。那对于企业来说,选择HTTPS在当下来说是否值得?它的利弊何在?下面我们就将从不同角度入手,为大家进行分析。

升级HTTPS,价值何在?

HTTPS实质上是一种面向安全信息通信的协议。从最终的数据解析的角度上看,HTTPS与HTTP没有本质上的区别。对于接收端而言,SSL/TSL将接收的数据包解密,将数据传给HTTP协议层,就形成了HTTP数据。而HTTPS则是将HTTP数据包通过SSL/TSL层加密,从而保证传输数据的安全性。

SSL/TSL是一个分层协议,共有两层组成,其中SSL/TSL握手协议允许服务方与客户方互相认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥。SSL/TSL的握手协议主要交换数字证书、随机数、机密通信协议这三个信息,以保证访问的安全。

借此,HTTPS可完成以下目标,这也是它基于安全性的主要价值:

l数据保密性。保证内容在传输过程中不会被第三方查看到,通过非对称加密及密钥交换来实现。

l数据完整性。可及时发现被第三方篡改的传输内容,以确保数据的完整性得到及时维护。

l身份校验。保证数据到达用户期望的目的地,即PKI和数字证书。

这样就可以明白为什么Google广告没法投放了:当用户使用Safari浏览网页,若广告内容不是透过HTTPS连线(对绝大多数广告来说并不需要进行加密),在iOS9将无法顺利执行,也就遭到了屏蔽。

难掩之瑕:HTTPS两大弊端

对于企业来说,切换成HTTPS的成本并不高,还可以大幅提升安全性。可还是有部分互联网企业不愿意使用它,为什么?这是因为HTTPS也有一些不容忽视的弊端存在。

首先,HTTPS会拖慢访问速度。由上文可见,要做到从HTTP到HTTPS的转变,需要多次计算和交互,SSL完全握手导致的延时,证书的状态检查等。这些自然影响了HTTPS的访问速度。这是HTTPS不被很多公司选择的主要原因。

其次,HTTPS消耗CPU的计算能力。这主要发生在握手阶段的大数运算,其中密钥交换时的私钥解密阶段的性能消耗可以高达整个SSL握手性能消耗的95%。完全握手时,webserver的处理能力会降低至HTTP的10%甚至以下。

以上两点是HTTPS的主要劣势所在。因此即便它在安全性上具有得天独厚的价值,很多互联网企业基于用户体验和产品性能的考虑,还是选择不用HTTPS。

选择HTTPS,值还是不值?

因此,说HTTPS“瑕不掩瑜”显然不太公允,因为我们可以看到,它的这些弊端很容易“戳中”不少产品的性能侧重点。但同时也要看到,针对它的这些劣势,尤其是造成访问延时这方面,已经存在很成熟的优化方法。

百度从2014年开始对外开放了HTTPS的访问,之后进行监测分析,发现如果网站什么优化都不做,HTTPS明显慢很多。而如果站点本身已经做过常规优化,但是不针对HTTPS做优化,百度实测的结果是0.2-0.4秒耗时的增加。

因此,企业可以针对网站做部分优化,具体可分为以下几个方面:

首先,我们可以在服务器端配置HSTS,减少302跳转;设置sslsession的共享内存cache;配置相同的sessionticketkey,部署在多个服务器上,这样多个不同的服务器也能产生相同的sessionticket;设置ocspstaplingfile,这样ocsp的请求就不会发往ca提供的ocsp站点,而是发往网站的webserver。

我们还可以优先使用ecdhe密钥交换算法,因为它支持PFS(perfectforwardsecrecy),能够实现falsestart;设置tlsrecordsize,最好是能动态调整recordsize,即连接刚建立时recordsize设置成msg,连接稳定之后可以将recordsize动态增加。

如果有条件的话,还可以启用tcpfastopen。或者启用SPDY,这样会明显提升HTTPS速度,甚至比HTTP还要快。在无线WIFI环境下,SPDY比HTTP要快50ms左右,3G环境下比HTTP要快250ms。

这些方法,可以从HTTPS运作的各个方面入手来优化访问速度,降低延迟。当然,这些优化做起来并不是一件简单的事情,但企业大可以不必亲自操刀来搞——你可以选择接入提供充分优化过的HTTPS服务的云平台。以UPYUN为例,作为国内首家提供全节点HTTPS访问(自定义SSL服务)的云CDN厂商,UPYUN支持客户自主上传SSL证书,开启完全自定义的HTTPS访问。

借此,接入该服务的客户将享受完全自主、全网的HTTPS加密功能,并与UPYUN云CDN加速服务相结合,将流经用户和服务器之间数据进行加密。同时,UPYUN将支持默认域名HTTPS服务和自主域名HTTPS服务两种方式选择使用,结合客户实际需求,将“HTTPS+CDN”整合到客户产品体系中,实现终端访问“加密+加速”的服务。

关键的一点,UPYUN自定义SSL支持TLS协议支持的版本就有苹果指定的TLSv1.2,这让使用UPYUNHTTPS服务的用户可以与iOS9系统下的苹果设备无缝对接。

这样一来,以UPYUN为代表的提供HTTPS服务的云平台,让企业得以一站式地享受HTTPS的安全性价值、规避它的性能劣势。效果等同于用户自主切换并构建HTTPS优化系统,还帮助用户节省了这两项工作的成本花费。

无论选择哪种途径,针对性的优化都会最大限度地消除HTTPS两大弊端对用户体验及产品性能的消极影响,从而凸显它杰出的安全性价值。在这个前提下,结合数据安全对于企业发展的重要性,以及快速抢占iOS新市场的意义,我们可以得出这样一个结论:选择HTTPS,绝对是值得的。

苹果又一次引领了行业的潮流,适时跟上不失为明智之举。你的选择,又是什么呢?

(新闻稿2015-09-25)

32 SQL 视图

Android 网格布局 GridLayout

Android 线性布局 LinearLayout