Страх, лінощі та погана репутація TLS - JAXenter

лінощі

"TLS? Повільно! HTTP2? Це нікому не потрібно! "- нісенітниця, каже спікер W-JAX Торстен Бьог Кестер: TLS йде на аванс, незабаром буде обов'язковим для Chrome і Firefox і основою для використання HTTP/2. В інтерв’ю він пояснює, як пришвидшити конфігурацію TLS і чому TLS у зв'язку з HTTP/2 є такою вдалою комбінацією.

JAXenter: Що розробники в основному повинні враховувати, якщо хочуть оновити свій веб-сайт до TLS?

Торстен Кестер: Тут ви повинні розрізняти фактичну конфігурацію TLS (або SSL) та процес переходу веб-сайту. За допомогою конфігурації TLS ви повинні освоїти акт балансування між захищеною конфігурацією та підтримкою старих клієнтів - наприклад, B. Windows XP. Для початку HTTP та HTTPS-версії веб-сайту можуть працювати паралельно. Тестуючи варіант HTTPS, ви можете протестувати попередження змішаного вмісту, тобто ресурси, які все ще інтегровані через незахищені з'єднання. Кандидатами є такі системи відстеження, як Google Analytics або New Relic.

За допомогою конфігурації TLS ви повинні освоїти акт балансування між захищеною конфігурацією та підтримкою старих клієнтів.

У якийсь момент вам слід вирішити спрямувати HTTP-трафік на варіант HTTPS. Тут слід налаштувати переспрямування на веб-сервері настільки чисто, що для клієнта ініціюється лише одне переспрямування. В іншому випадку латентність z. Б. у мобільному секторі призводять до надзвичайної втрати коефіцієнтів конверсії.

Тепер ви повинні подивитися на споживання процесора для завершення TLS найпізніше. Завершення TLS є процесором. Хоча це теж значно покращилось. TLS із веб-сайтів із високим навантаженням також можна без проблем припинити на віртуальних машинах. B. HAProxy та OpenSSL надзвичайно ефективні.

JAXenter: TLS має репутацію повільного. Що потрібно робити розробникам, щоб цього не сталося?

Торстен Кестер: Безумовно, потрапляйте в мою бесіду Нестандартні конфігурації TLS зазвичай повільні і не особливо безпечні. Найбільші витрати часу - непотрібні поїздки в обидва боки між сервером та клієнтом або навіть між клієнтом та органом сертифікації для перевірки сертифікатів. Для усунення всіх TLS туди і назад, z. Б. Використовуються додаткові сертифікати перевірки (стекування OCSP) і вмикаються префікси протоколів та ранній запуск TLS. Всі випробувані методи.

JAXenter: Кожен байт є цінним, особливо з мобільним трафіком даних. Які особливі особливості слід враховувати розробникам?

У мобільному секторі будь-яка форма шифрування, на жаль, є непродуктивною.

Торстен Кестер: На жаль, будь-яка форма шифрування тут непродуктивна, оскільки вона завжди роздуває трафік даних. Але і тут TLS можна сісти на дієту, а зворотні поїздки можна звести до мінімуму і TLS оптимізувати для використання в хитких мережах. Якщо пакети часто втрачаються - як у стільникових мережах - Б. Має сенс зменшити розмір кадрів, зашифрованих цілиною.

JAXenter: Чому TLS та HTTP/2 є такою вдалою комбінацією?

Торстен Кестер: У поточних реалізаціях браузера TLS є обов'язковою вимогою для використання HTTP2. Як необхідне зло слід займатися темою TLS ...

JAXenter: З ініціативою Let's Encrypt насправді немає аргументів, чому дані надсилаються незашифрованими. Але все-таки лише частина мережі зашифрована. Чому, на вашу думку, це саме так?

Торстен Кестер: Це буде суміш страху, ліні та поганої назви TLS. Я працюю в Інтернет-групі Shopping24, і як пошук продукту для нас надзвичайно важливий високий коефіцієнт конверсії наших користувачів. Відповідно, ми сильно тремтіли, коли перший клієнт перейшов на TLS. І не без поважних причин, тому що наша конфігурація TLS була на початку лише ідеальною. Зараз ми досягаємо кращого коефіцієнта конверсії для орендарів TLS, ніж для кількох незашифрованих орендарів. Швидкість перетворення, швидше за все, покращиться за рахунок подальшого розширення HTTP2 та збільшення підтримки веб-серверів.

Зустріньте Торстен Бог Костер на W-JAX 2016

Його сесія Налаштування TLS для безпеки, швидкості та HTTP/2 відбудеться у вівторок, 8 листопада, о 16:45 у залі "Атланта".

Анотація:
"TLS? Повільно! HTTP2? Це нікому не потрібно! »- Нісенітниця! TLS наперед, скоро стане обов’язковим для Chrome та Firefox та основою для використання HTTP/2. Чутка про повільний TLS зберігається і базується на багатьох стандартних установках Apache, nginx та Co. З початком роботи Let's Encrypt регулярні сертифікати SSL доступні кожному. У цій сесії ми (в прямому ефірі) оновлюємо незахищений веб-сайт до TLS та HTTP/2. Ми працюємо із сертифікатом Let's Encrypt. Ми перевіряємо та оптимізуємо рівень безпеки та швидкість TLS. Початкове рукостискання TLS вимагає значної оптимізації, щоб мінімізувати затримку і, отже, TTFB, особливо при мобільних з'єднаннях. На останньому етапі ми піднімаємо доставку веб-сайту до HTTP/2.