TLS cu Let; s Criptați frica, lenea și o reputație proastă - rețeaua de cumpărături24

În noiembrie 2016 am avut ocazia să raportez experiențele noastre cu reglarea conexiunilor SSL/TLS și utilizarea certificatelor Let's Encrypt.

frica

Într-o sesiune de hacking live am arătat pașii necesari pentru a muta o instanță AWS-EC2 echipată cu HAProxy și Nginx de la HTTP la TLS și apoi pentru a activa HTTP/2. Înainte de discuție, JAXenter a realizat următorul interviu cu mine pe această temă.

JAXenter: Ce trebuie să ia în considerare dezvoltatorii în principal dacă doresc să își actualizeze site-ul web la TLS?

Torsten Köster: Aici trebuie să faceți diferența între configurația TLS reală (sau SSL) și procesul de tranziție al site-ului web. Cu configurația TLS trebuie să stăpânești echilibrul dintre o configurație sigură și suportul clienților mai vechi - de ex. B. Windows XP. Pentru început, versiunea HTTP și HTTPS a unui site web poate fi operată în paralel. Prin testarea variantei HTTPS, este posibil să testați avertismentele de conținut mixt, adică resurse care sunt încă integrate de conexiuni nesigure. Sistemele de urmărire precum Google Analytics sau New Relic sunt candidați.

La un moment dat ar trebui să decideți să direcționați traficul HTTP către varianta HTTPS. Aici ar trebui să configurați redirecționările în serverul web atât de curat încât doar o singură redirecționare este declanșată către client. În caz contrar, latența z. B. în sectorul mobil duce la pierderi extreme ale ratelor de conversie.

Acum ar trebui să vă uitați la consumul CPU pentru terminarea TLS cel târziu. Terminarea TLS este un procesor CPU. Deși și asta s-a îmbunătățit mult. TLS-urile de pe site-urile web cu încărcare ridicată pot fi de asemenea terminate pe mașini virtuale fără probleme. B. HAProxy și OpenSSL extrem de eficiente.

"Cu configurația TLS trebuie să stăpânești echilibrul dintre o configurație sigură și suportul clienților mai vechi."

JAXenter: TLS are reputația de a fi lent. Ce trebuie să facă dezvoltatorii pentru a preveni acest lucru?

Torsten Köster: Cu siguranță intră în discuția mea. Configurațiile TLS, de la început, sunt de obicei lente și nu sunt deosebit de sigure. Cele mai mari pierderi de timp sunt deplasări inutile între server și client sau chiar între client și autoritatea de certificare pentru validarea certificatelor. Pentru a elimina toate călătoriile dus-întors TLS, z. B. Se utilizează certificate de validare suplimentare (stivuirea OCSP) și prefixele de protocol și un start precoce TLS sunt activate. Toate tehnicile încercate și testate.

JAXenter: fiecare octet este prețios, mai ales în cazul traficului de date mobil. Ce caracteristici speciale ar trebui să ia în considerare dezvoltatorii?

Torsten Köster: Din păcate, orice formă de criptare este contraproductivă aici, deoarece întotdeauna umflă traficul de date. Dar și aici, TLS poate fi pus pe o dietă, iar călătoriile dus-întors pot fi reduse la minimum și TLS optimizate pentru utilizare în rețele tremurante. Dacă pachetele sunt deseori pierdute - ca în rețelele celulare - B. Este logic să reduceți dimensiunea cadrelor criptate dintr-o singură bucată.

JAXenter: De ce TLS și HTTP/2 sunt o combinație atât de bună?

Torsten Köster: În implementările curente ale browserului, TLS este o cerință obligatorie pentru utilizarea HTTP2. Ca un rău necesar, ar trebui să ne ocupăm de subiectul TLS ...

"Amestec de frică, lene și proasta reputație a TLS"

JAXenter: Cu inițiativa Let's Encrypt, de fapt, nu există argumente pentru care datele sunt trimise necriptate. Dar totuși doar o fracțiune din rețea este criptată. De ce crezi că așa este?

Torsten Köster: Va fi un amestec de frică, lene și reputația proastă a TLS. Lucrez pentru rețeaua comercială shopping24 și ca o căutare de produse, o rată ridicată de conversie a utilizatorilor noștri este extrem de importantă. În consecință, am tremurat violent când primul client a trecut la TLS. Și nu fără un motiv întemeiat, deoarece configurația noastră TLS a fost orice altceva decât ideală la început. Acum obținem o rată de conversie mai bună la chiriașii TLS decât la câțiva chiriași necriptați. Este probabil ca rata de conversie să se îmbunătățească prin extinderea ulterioară a HTTP2 și suportul crescând în serverele web.