Strach z TLS, lenivosť a zlá povesť - JAXenter

lenivosť

„TLS? Pomaly! HTTP2? Nikto to nepotrebuje! “- Nezmysel, hovorí hovorca W-JAX Torsten Bøgh Köster: TLS je v predstihu, čoskoro bude povinný v prehliadačoch Chrome a Firefox a bude základom pre použitie protokolu HTTP/2. V rozhovore vysvetľuje, ako urýchliť konfiguráciu TLS a prečo je TLS v spojení s HTTP/2 taká dobrá kombinácia.

JAXenter: Čo musia vývojári hlavne zvážiť, ak chcú upgradovať svoj web na TLS?

Torsten Köster: Tu musíte rozlišovať medzi skutočnou konfiguráciou TLS (alebo SSL) a procesom prechodu na webovej stránke. S konfiguráciou TLS musíte zvládnuť vyváženie medzi bezpečnou konfiguráciou a podporou aj starších klientov - napr. B. Windows XP. Pre začiatok je možné prevádzkovať webovú verziu s protokolom HTTP a HTTPS paralelne. Testovaním variantu HTTPS môžete otestovať upozornenia na zmiešaný obsah, t. J. Zdroje, ktoré sú stále integrované pomocou nezabezpečených pripojení. Kandidáti sú sledovacie systémy ako Google Analytics alebo New Relic.

S konfiguráciou TLS musíte zvládnuť vyváženie medzi bezpečnou konfiguráciou a podporou starších klientov.

V určitom okamihu by ste sa mali rozhodnúť nasmerovať prenos HTTP na variant HTTPS. Tu by ste mali nastaviť presmerovania na webovom serveri tak čisto, aby sa klientovi spustilo iba jedno presmerovanie. Inak latencia z. B. v mobilnom sektore viesť k extrémnej strate konverzných kurzov.

Teraz by ste sa mali najneskôr pozrieť na spotrebu procesora pri ukončení TLS. Ukončenie TLS je prasa CPU. Aj keď aj to sa veľmi zlepšilo. TLS z webov s vysokým zaťažením je možné bez problémov ukončiť aj na virtuálnych strojoch. B. HAProxy a OpenSSL sú mimoriadne efektívne.

JAXenter: TLS má povesť pomalej. Čo musia vývojári urobiť, aby tomu zabránili?

Torsten Köster: Určite sa pustite do mojej reči. Konfigurácie TLS pripravené na použitie sú zvyčajne pomalé a nie sú zvlášť bezpečné. Tým najväčším stratou času sú zbytočné obchádzky medzi serverom a klientom alebo dokonca medzi klientom a certifikačnou autoritou na overenie certifikátov. Ak chcete vylúčiť všetky spiatočné lety TLS, z. B. Používajú sa mimoriadne overovacie certifikáty (stohovanie OCSP) a sú povolené predvoľby protokolu a skoré spustenie TLS. Všetky osvedčené techniky.

JAXenter: Každý bajt je vzácny, najmä pri mobilnom dátovom prenose. Ktoré špeciálne funkcie by mali vývojári brať do úvahy?

V mobilnom sektore je akákoľvek forma šifrovania bohužiaľ kontraproduktívna.

Torsten Köster: Akákoľvek forma šifrovania je tu, bohužiaľ, kontraproduktívna, pretože vždy nafukuje dátový prenos. Aj tu však možno TLS nasadiť na diétu a minimalizovať spiatočné lety a optimalizovať TLS na použitie v vratkých sieťach. Ak sa pakety často stratia - ako v celulárnych sieťach - B. Má zmysel zmenšiť veľkosť rámcov zašifrovaných v jednom kuse.

JAXenter: Prečo sú TLS a HTTP/2 taká dobrá kombinácia?

Torsten Köster: V súčasných implementáciách prehľadávača je protokol TLS povinnou požiadavkou pri používaní protokolu HTTP2. Ako nevyhnutné zlo by sa malo zaoberať témou TLS ...

JAXenter: S iniciatívou Let's Encrypt v skutočnosti neexistujú žiadne argumenty, prečo sa údaje odosielajú nezašifrované. Stále je však šifrovaný iba zlomok siete. Prečo si myslíš, že je to tak?

Torsten Köster: Bude to zmes strachu, lenivosti a zlého mena TLS. Pracujem pre internetovú skupinu Shopping24 a ako vyhľadávanie produktov je pre nás nesmierne dôležitá vysoká miera konverzie našich používateľov. Preto sme sa prudko chveli, keď prvý klient prešiel na TLS. A nie bez dobrého dôvodu, pretože naša konfigurácia TLS bola na začiatku všetko, len nie ideálne. Teraz dosahujeme lepší konverzný pomer na nájomcoch TLS ako na niekoľkých nezašifrovaných nájomcoch. Konverzný pomer sa pravdepodobne zlepší ďalším rozširovaním protokolu HTTP2 a zvyšovaním podpory na webových serveroch.

Zoznámte sa s Torsten Bøgh Köster na W-JAX 2016

Jeho relácia Ladenie TLS pre bezpečnosť, rýchlosť a HTTP/2 sa uskutoční v utorok 8. novembra o 16:45 v miestnosti „Atlanta“.

Abstrakt:
„TLS? Pomaly! HTTP2? Nikto to nepotrebuje! “- Nezmysel! Protokol TLS je v predstihu, čoskoro bude povinný v prehliadačoch Chrome a Firefox a bude základom pre použitie protokolu HTTP/2. Fáma o pomalom TLS pretrváva a je založená na mnohých štandardných inštaláciách serverov Apache, nginx a Co. Od začiatku Let's Encrypt sú pravidelné SSL certifikáty dostupné pre všetkých. V tejto relácii (naživo) inovujeme nezabezpečený web na TLS a HTTP/2. Pracujeme s certifikátom Let's Encrypt. Kontrolujeme a optimalizujeme úroveň a rýchlosť zabezpečenia TLS. Najmä počiatočné podanie TLS vyžaduje veľkú optimalizáciu, aby sa minimalizovala latencia a tým aj TTFB, najmä pri mobilných pripojeniach. V poslednom kroku zvýšime doručenie webovej stránky na HTTP/2.