TLS frică, lenea și o reputație proastă - JAXenter

reputație

„TLS? Încet! HTTP2? Nimeni nu are nevoie de el! ”- Prostii, spune vorbitorul W-JAX, Torsten Bøgh Köster: TLS este în avans, în curând va fi obligatoriu în Chrome și Firefox și baza pentru utilizarea HTTP/2. În interviu, el explică modul de accelerare a configurațiilor TLS și de ce TLS în legătură cu HTTP/2 este o combinație atât de bună.

JAXenter: Ce trebuie să ia în considerare dezvoltatorii în principal dacă doresc să își actualizeze site-ul web la TLS?

Torsten Köster: Aici trebuie să faceți diferența între configurația TLS reală (sau SSL) și procesul de tranziție al site-ului web. Cu configurația TLS trebuie să stăpânești echilibrul dintre o configurație sigură și suportul clienților mai vechi - de ex. B. Windows XP. Pentru început, versiunea HTTP și HTTPS a unui site web poate fi operată în paralel. Prin testarea variantei HTTPS, este posibil să testați avertismentele de conținut mixt, adică resurse care sunt încă integrate de conexiuni nesigure. Sistemele de urmărire precum Google Analytics sau New Relic sunt candidați.

Cu configurația TLS trebuie să stăpânești actul de echilibrare între o configurație sigură și suportul clienților mai vechi.

La un moment dat ar trebui să decideți să direcționați traficul HTTP către varianta HTTPS. Aici ar trebui să configurați redirecționările în serverul web atât de curat încât doar o singură redirecționare este declanșată către client. În caz contrar, latența z. B. în sectorul mobil duce la pierderi extreme ale ratelor de conversie.

Acum ar trebui să vă uitați la consumul CPU pentru terminarea TLS cel târziu. Terminarea TLS este un procesor CPU. Deși și asta s-a îmbunătățit mult. TLS-urile de pe site-urile web cu încărcare ridicată pot fi de asemenea terminate pe mașini virtuale fără probleme. B. HAProxy și OpenSSL extrem de eficiente.

JAXenter: TLS are reputația de a fi lent. Ce trebuie să facă dezvoltatorii pentru a preveni acest lucru?

Torsten Köster: Intră cu siguranță în discuția mea. Configurațiile TLS, de la început, sunt de obicei lente și nu sunt deosebit de sigure. Cele mai mari pierderi de timp sunt deplasări inutile între server și client sau chiar între client și autoritatea de certificare pentru validarea certificatelor. Pentru a elimina toate călătoriile dus-întors TLS, z. B. Se utilizează certificate de validare suplimentare (stivuirea OCSP) și prefixele de protocol și un start precoce TLS sunt activate. Toate tehnicile încercate și testate.

JAXenter: fiecare octet este prețios, mai ales în cazul traficului de date mobil. Ce caracteristici speciale ar trebui să ia în considerare dezvoltatorii?

În sectorul mobil, orice formă de criptare este, din păcate, contraproductivă.

Torsten Köster: Din păcate, orice formă de criptare este contraproductivă aici, deoarece întotdeauna umflă traficul de date. Dar și aici, TLS poate fi pus pe o dietă, iar călătoriile dus-întors pot fi reduse la minimum și TLS optimizate pentru utilizare în rețele tremurante. Dacă pachetele sunt deseori pierdute - ca în rețelele celulare - B. Este logic să reduceți dimensiunea cadrelor criptate dintr-o singură bucată.

JAXenter: De ce TLS și HTTP/2 sunt o combinație atât de bună?

Torsten Köster: În implementările curente ale browserului, TLS este o cerință obligatorie pentru utilizarea HTTP2. Ca un rău necesar, ar trebui să ne ocupăm de subiectul TLS ...

JAXenter: Cu inițiativa Let's Encrypt, de fapt, nu există argumente pentru care datele sunt trimise necriptate. Dar totuși doar o fracțiune din rețea este criptată. De ce crezi că așa este?

Torsten Köster: Acesta va fi un amestec de frică, lene și numele rău de TLS. Lucrez pentru Shopping24 Internet Group și ca o căutare de produse, o rată ridicată de conversie a utilizatorilor noștri este extrem de importantă pentru noi. În consecință, am tremurat violent când primul client a trecut la TLS. Și nu fără un motiv întemeiat, deoarece configurația noastră TLS a fost orice altceva decât ideală la început. Acum obținem o rată de conversie mai bună la chiriașii TLS decât la câțiva chiriași necriptați. Este probabil ca rata de conversie să se îmbunătățească prin extinderea ulterioară a HTTP2 și suportul crescând în serverele web.

Faceți cunoștință cu Torsten Bøgh Köster la W-JAX 2016

Sesiunea sa Tuning TLS for Security, Speed ​​and HTTP/2 va avea loc marți, 8 noiembrie la 16:45 în sala „Atlanta”.

Abstract:
„TLS? Încet! HTTP2? Nimeni nu are nevoie de ea! ”- Prostii! TLS este în avans, va fi în curând obligatoriu în Chrome și Firefox și va fi baza pentru utilizarea HTTP/2. Zvonul despre TLS lent persistă și se bazează pe numeroasele instalații standard ale Apache, nginx și Co. Odată cu începerea Let's Encrypt, certificatele SSL regulate sunt disponibile pentru toată lumea. În această sesiune actualizăm (live) un site web nesecurizat la TLS și HTTP/2. Lucrăm cu un certificat Let's Encrypt. Verificăm și optimizăm nivelul și viteza de securitate TLS. Strângerea de mână inițială TLS necesită în special o mulțime de optimizare pentru a minimiza latența și, prin urmare, TTFB, în special cu conexiunile mobile. În ultimul pas, mărim livrarea site-ului web către HTTP/2.