В этом году мы перевели наш портал на HTTPS. Это оказалось непростой задачей. Основными проблемами явились рост нагрузки, увеличение Round Trip Times (RTT) и Mixed Content. Мы опробовали различные известные механизмы, призванные нивелировать эти проблемы, но, как оказалось на практике, все они скрывают в себе особенности. Эти особенности стоило знать заранее, но их не удалось почерпнуть из открытых источников.
В этом докладе мы хотим поделиться сложностями, с которыми мы столкнулись, а также тем, к каким выводам в итоге пришли. Надеемся, что набитые нами шишки будут полезны тем проектам, которые только планируют переход на HTTPS.
54. Session Context
“...it would be possible, to re-import a session generated from another
context (e.g. another application), which might lead to malfunctions.”
97. Редирект на HTTPS
• Старые смартфоны:
• Смартфон: RSA 1024 bits
• Наш TLS: RSA 2048 bits
98. Редирект на HTTPS
• Старые смартфоны:
• Смартфон: RSA 1024 bits
• Наш TLS: RSA 2048 bits
• SmartTV: тормозят
99. Редирект на HTTPS
• Старые смартфоны:
• Смартфон: RSA 1024 bits
• Наш TLS: RSA 2048 bits
• SmartTV: тормозят
• Пароли не подходят!
100. • Лучше иметь отдельный ключ для шифрования TLS-тикетов
101. • Лучше иметь отдельный ключ для шифрования TLS-тикетов
• Оперативное отключение OCSP Stapling
102. • Лучше иметь отдельный ключ для шифрования TLS-тикетов
• Оперативное отключение OCSP Stapling
• Mixed Content: используйте CSP-reports, но много мусора
103. • Лучше иметь отдельный ключ для шифрования TLS-тикетов
• Оперативное отключение OCSP Stapling
• Mixed Content: используйте CSP-reports, но много мусора
• Надо что-то делать со старыми клиентами
104. • Лучше иметь отдельный ключ для шифрования TLS-тикетов
• Оперативное отключение OCSP Stapling
• Mixed Content: используйте CSP-reports, но много мусора
• Надо что-то делать со старыми клиентами
• Браузеры забудут сохраненные пароли