TLS з Let; s Зашифруйте страх, лінощі та погану репутацію - торгова мережа shopping24

У листопаді 2016 року я мав можливість повідомити про наш досвід налаштування з'єднань SSL/TLS та використання сертифікатів Let's Encrypt.

страх

Під час сеансу злому в реальному часі я показав кроки, необхідні для оновлення екземпляра AWS-EC2, оснащеного HAProxy & Nginx, з HTTP на TLS, а потім для активації HTTP/2. Перед розмовою JAXenter провів зі мною наступне інтерв’ю на цю тему.

JAXenter: Що розробники в основному повинні враховувати, якщо хочуть оновити свій веб-сайт до TLS?

Торстен Кестер: Тут ви повинні розрізняти фактичну конфігурацію TLS (або SSL) та процес переходу веб-сайту. За допомогою конфігурації TLS ви повинні освоїти акт балансування між захищеною конфігурацією та підтримкою старих клієнтів - наприклад, B. Windows XP. Для початку HTTP та HTTPS-версії веб-сайту можуть працювати паралельно. Тестуючи варіант HTTPS, ви можете протестувати попередження змішаного вмісту, тобто ресурси, які все ще інтегровані через незахищені з'єднання. Кандидатами є такі системи відстеження, як Google Analytics або New Relic.

У якийсь момент вам слід вирішити спрямувати HTTP-трафік на варіант HTTPS. Тут слід налаштувати переспрямування на веб-сервері настільки чисто, що для клієнта ініціюється лише одне переспрямування. В іншому випадку латентність z. Б. у мобільному секторі призводять до надзвичайної втрати коефіцієнтів конверсії.

Тепер ви повинні подивитися на споживання процесора для завершення TLS найпізніше. Завершення TLS є процесором. Хоча це теж значно покращилось. TLS із веб-сайтів із високим навантаженням також можна без проблем припинити на віртуальних машинах. B. HAProxy та OpenSSL надзвичайно ефективні.

"За допомогою конфігурації TLS ви повинні освоїти акт балансування між захищеною конфігурацією та підтримкою старих клієнтів."

JAXenter: TLS має репутацію повільного. Що потрібно робити розробникам, щоб цього не сталося?

Торстен Кестер: Безумовно, приходьте до моєї розмови. Нестандартні конфігурації TLS зазвичай повільні і не особливо безпечні. Найбільші витрати часу - непотрібні поїздки в обидва боки між сервером та клієнтом або навіть між клієнтом та органом сертифікації для перевірки сертифікатів. Для усунення всіх TLS туди і назад, z. Б. Використовуються додаткові сертифікати перевірки (стекування OCSP) і вмикаються префікси протоколів та ранній запуск TLS. Всі випробувані методи.

JAXenter: Кожен байт є цінним, особливо з мобільним трафіком даних. Які особливі особливості слід враховувати розробникам?

Торстен Кестер: На жаль, будь-яка форма шифрування тут контрпродуктивна, оскільки вона завжди роздуває трафік даних. Але і тут TLS можна сісти на дієту, а зворотні поїздки можна звести до мінімуму і TLS оптимізувати для використання в хитких мережах. Якщо пакети часто втрачаються - як у стільникових мережах - Б. Має сенс зменшити розмір кадрів, зашифрованих цілиною.

JAXenter: Чому TLS та HTTP/2 є такою вдалою комбінацією?

Торстен Кестер: У поточних реалізаціях браузера TLS є обов'язковою вимогою для використання HTTP2. Як необхідне зло слід займатися темою TLS ...

"Суміш страху, ліні та поганої репутації TLS"

JAXenter: З ініціативою Let's Encrypt насправді немає аргументів, чому дані надсилаються незашифрованими. Але все-таки лише частина мережі зашифрована. Чому, на вашу думку, це саме так?

Торстен Кестер: Це буде суміш страху, ліні та поганої репутації TLS. Я працюю в торговій мережі shopping24, і як пошук товару високий коефіцієнт конверсії для наших користувачів надзвичайно важливий. Відповідно, ми сильно тремтіли, коли перший клієнт перейшов на TLS. І не без поважних причин, тому що наша конфігурація TLS була на початку лише ідеальною. Зараз ми досягаємо кращого коефіцієнта конверсії для орендарів TLS, ніж для кількох незашифрованих орендарів. Швидкість перетворення, швидше за все, покращиться за рахунок подальшого розширення HTTP2 та збільшення підтримки веб-серверів.