VmuTargh
2016-07-16 21:00:17 +08:00
HTTPS 怎么够,你还需要如下选项:
0.HSTS ,个人 HTTPS 站点必备,很多企业站也上线了 HSTS 。谷歌也搞了一个 HSTS Preload List ,任何被登记在这个 list 里面的站点会直接用 https 链接,避免 fallback 风险。当然这个列表 Firefox 、 Edge 也兹磁。
1.DNSSEC ,虽然我兔境内 DNSSEC 部署几乎等于没有,只有 CNNIC 一家。但有总比没有好, DNSSEC 本身就是用于对抗 DNS 污染的。不过需要用户操作系统还有 DNS 服务器兹磁。目前 DNSSEC 在大多数国别域名以及 gTLD 已经部署,各个根服务器组也已部署了 DNSSEC 兹磁。越来越多的域名注册商、 DNS 服务商开始提供 DNSSEC 的兹磁了。
2.HPKP ,这个东西用来防止伪造证书进行中间人攻击,通过 HPKP 头设置指定证书(可以包括域名证书、中间证书或者根 CA 证书)的 fingerprint ,来检验是否为此服务器使用证书,以避免中间人攻击。
3.DANE ,这个玩意其实和 HPKP 差不多,都是验证证书的机制,但是这个是基于 DNSSEC 的,实现不如 HPKP 优雅。但是适配范围更广。包括 TCP 、 UDP 等,不仅仅是 HTTPS 。所兹磁的 SSL 证书也不仅限定于正规 CA 签发的证书,也包括自签名证书。
4.Certificate Transperency ,这个被成为证书透明度的东西一直没搞懂是如何发挥作用的。但是据窝的观察,应该是判断证书是否可信的一个机制。当然, CT 依赖于 SCT 服务器……
另外暴力膜一下……
BroncoTc :
网络上的 https 和 http 相比,加了一个 s 有什么用? http+1s 比 http 安全吗?
我不是运维工作者,但我见得多了,我觉得我作为一个贴膜专家兼前国家二级赛艇运动员,有必要跟你们分享一点网络协议方面的人生经验。
一个网站的安全呀,不仅需要在应用层面添加必要的防护,更要从网络协议层面上考虑架构的合理性。
毫无疑问, HTTPS 正是这样一种既兼顾了应用层面的奋斗,又考虑了架构合理性的新理念,它代表了先进生产力的发展要求,代表了先进文化的发展方向,代表了最广大码农的根本利益。
所以,一个没有+1s 的网站,可能被运营商劫持,可能被黑客攻击,可能有很多种不幸的可能。但是当网站+1s 之后,一切烦恼就结束了。用上海知名气象学家徐嘉诰的话说就是,本来天气预报今天有黑客攻击, https 一来,万里无云。
不知道你想过没有,为什么程序员天天加班到没时间,但在续命的问题上却有莫大的热情呢?因为他们真切的体会到了+1s 的好处
http=( h ) a ( t ) oo young ( t ) oo sim ( p ) le ?