隨著網路安全被逐漸重視,越來越多的開發者為自己的**實施
加密。申請乙個由專業
ca(如沃通
wosign
)頒發的
ssl證書是第一步。想要完善自己的
站點,你還需要針對
做一系列優化,下面分享一些優化
站點的小技巧。
hsts
在**全站
後,如果使用者手動敲入**的
鏈結,依賴於服務端
301/302
跳轉才能使用
服務。而第一次的
請求就有可能被劫持,導致請求無法到達伺服器,從而構成
降級劫持。
這個問題可以通過
hsts
來解決。
hsts
是乙個響應頭,格式如下:
strict-transport-security: max-age=expiretime [; includesubdomains] [; preload]
lmax-age
,單位是秒,用來告訴瀏覽器在指定時間內,這個**必須通過
協議來訪問。也就是對於這個**的
位址,瀏覽器需要先在本地替換為
之後再傳送請求。
lincludesubdomains
,可選引數,如果指定這個引數,表明這個**所有子網域名稱也必須通過
協議來訪問。
lpreload
,可選引數。
注意事項:
hsts
這個響應頭只能用於
https 響應;
**必須使用預設的
443 埠;
必須使用網域名稱,不能是
ip。目前
chrome, firefox, ie
都支援了
hsts
session resume
session cache
的原理是使用
client hello
中的session id
查詢服務端的
session cache,
如果服務端有對應的快取,則直接使用已有的
session
資訊提前完成握手,稱為簡化握手。
session cache
有兩個缺點:
1、需要消耗服務端記憶體來儲存
session
內容。 2
、目前的開源軟體包括
nginx,apache
session cache
幾乎沒有作用。
session cache
也有乙個非常大的優點:
session id
是tls
協議的標準字段,市面上的瀏覽器全部都支援
session cache。
tls
握手協議及伺服器端實現的優化,已經支援全域性的
session cache
,能夠明顯提公升使用者的訪問速度,節省伺服器計算資源。
session ticket
上面提到的
session cache
兩個缺點,
session ticket
就能夠很好的彌補。
session ticket
的原理參考
rfc4507
。簡述如下:
server
將session
資訊加密成
ticket
傳送給瀏覽器,瀏覽器後續握手請求時會傳送
ticket
,server
端如果能成功解密和處理
ticket
,就能完成簡化握手。
顯然,session ticket
的優點是不需要服務端消耗大量資源來儲存
session
內容。
session ticket
的缺點:
1、session ticket
只是tls
協議的乙個擴充套件特性,目前的支援率不是很廣泛,只有
60%
左右。 2
、session ticket
需要維護乙個全域性的
key
來加解密,需要考慮
key
的安全性和部署效率。
總體來講,
session ticket
的功能特性明顯優於
session cache
。希望客戶端實現優先支援
session ticket。
總結:想要理想的實現站點
加密,並不是將
ssl證書部署上去就萬事大吉了。合理的優化不僅能加強**的安全性,更能有效提公升使用者的瀏覽體驗,是**建設的必須步驟。
HTTPS站點優化建議及技巧
seo優化推廣 採用https協議對seo有何好處?除了安全性更高這一好處外,https對seo也是有一定益處的。1 使用https協議有利於搜尋引擎排名 谷歌曾發布公告表示將把 是否使用安全加密協議 即https 作為搜尋引擎排名的一項參考因素。同等情況下,https站點能比http站點獲得更好的...
HTTPS站點優化建議及技巧
seo教程 採用https協議對seo有何好處?除了安全性更高這一好處外,https對seo也是有一定益處的。1 使用https協議有利於搜尋引擎排名 去年8月份,谷歌曾發布公告表示將把 是否使用安全加密協議 即https 作為搜尋引擎排名的一項參考因素。同等情況下,https站點能比http站點獲...
Oracle I O優化小技巧
重做日誌檔案與歸檔日誌檔案放到不同硬碟.資料檔案與重做日誌檔案放到不同硬碟.不同的重做日誌檔案 控制檔案 歸檔日誌檔案最好放到不同硬碟 控制檔案 重做日誌檔案放到高速硬碟。不行就放到同一硬碟高速區,即柱面號低的硬碟外部半圈。歸檔日誌可以放在低速硬碟或分割槽 單純增加硬碟大小不太管用。最好增加硬碟物理...