大型网站的HTTPS实践(一).pdf

大型网站的 HTTPS 实践（一） 1 前言 百度已经于近日上线了全站 HTTPS 的安全搜索，默认会将 HTTP 请求跳转成 HTTPS 。本文重点介绍 HTTPS 协议 ,并简 单介绍部署全站 HTTPS 的意义。 本文转载自百度运维部官方博客 2 HTTPS 协议概述 HTTPS 可以认为是 HTTP + TLS 。HTTP 协议大家耳熟能详 了，目前大部分 WEB 应用和网站都是使用 HTTP 协议传输 的。 TLS 是传输层加密协议，它的前身是 SSL 协议，最早由 netscape 公司于 1995 年发布， 1999 年经过 IETF 讨论和规 范后，改名为 TLS 。如果没有特别说明， SSL 和 TLS 说的 都是同一个协议。 HTTP 和 TLS 在协议层的位置以及 TLS 协议的组成如下图： TLS 协议主要有五部分：应用数据层协议，握手协议，报警 协议，加密消息确认协议，心跳协议。 TLS 协议本身又是由 record 协议传输的， record 协议的格 式如上图最右所示。 目前常用的 HTTP 协议是 HTTP1.1 ，常用的 TLS 协议版本 有如下几个： TLS1.2, TLS1.1, TLS1.0 和 SSL3.0 。其中 SSL3.0 由于 POODLE 攻击已经被证明不安全， 但统计发现 依然有不到 1% 的浏览器使用 SSL3.0 。TLS1.0 也存在部分 安全漏洞，比如 RC4 和 BEAST 攻击。 TLS1.2 和 TLS1.1 暂时没有已知的安全漏洞， 比较安全，同 时有大量扩展提升速度和性能，推荐大家使用。 需要关注一点的就是 TLS1.3 将会是 TLS 协议一个非常重大 的改革。不管是安全性还是用户访问速度都会有质的提升。 不过目前没有明确的发布时间。 同时 HTTP2 也已经正式定稿，这个由 SPDY 协议演化而来 的协议相比 HTTP1.1 又是一个非常重大的变动，能够明显 提升应用层数据的传输效率。 3 HTTPS 功能介绍 百度使用 HTTPS 协议主要是为了保护用户隐私，防止流量 劫持。 HTTP 本身是明文传输的，没有经过任何安全处理。例如用 户在百度搜索了一个关键字，比如“苹果手机”，中间者完全 能够查看到这个信息，并且有可能打电话过来骚扰用户。也 有一些用户投诉使用百度时，发现首页或者结果页面浮了一 个很长很大的广告，这也肯定是中间者往页面插的广告内容。 如果劫持技术比较低劣的话，用户甚至无法访问百度。 这里提到的中间者主要指一些网络节点，是用户数据在浏览 器和百度服务器中间传输必须要经过的节点。比如 WIFI 热 点，路由器，防火墙，反向代理，缓存服务器等。 在 HTTP 协议下，中间者可以随意嗅探用户搜索内容，窃取 隐私甚至篡改网页。不过 HTTPS 是这些劫持行为的克星， 能够完全有效地防御。 总体来说， HTTPS 协议提供了三个强大的功能来对抗上述 的劫持行为： 1. 内容加密。浏览器到百度服务器的内容都