隨著國內(nèi)網(wǎng)絡環(huán)境的持續(xù)惡化，各種篡改和劫持層出不窮，越來越多的網(wǎng)站選擇了全站 HTTPS。就在今天，免費提供證書服務的Let's Encrypt 項目也正式開放，HTTPS 很快就會成為 WEB 必選項。HTTPS 通過 TLS 層和證書機制提供了內(nèi)容加密、身份認證和數(shù)據(jù)完整性三大功能，可以有效防止數(shù)據(jù)被查看或篡改，以及防止中間人冒充。本文分享一些啟用 HTTPS 過程中的經(jīng)驗，重點是如何與一些新出的安全規(guī)范配合使用。至于 HTTPS 的部署及優(yōu)化，之前寫過很多，本文不重復了。

理解 Mixed Content

HTTPS 網(wǎng)頁中加載的 HTTP 資源被稱之為 Mixed Content（混合內(nèi)容），不同瀏覽器對 Mixed Content 有不一樣的處理規(guī)則。

早期的 IE

早期的 IE 在發(fā)現(xiàn) Mixed Content 請求時，會彈出「是否只查看安全傳送的網(wǎng)頁內(nèi)容？」這樣一個模態(tài)對話框，一旦用戶選擇「是」，所有 Mixed Content 資源都不會加載；選擇「否」，所有資源都加載。

比較新的 IE

比較新的 IE 將模態(tài)對話框改為頁面底部的提示條，沒有之前那么干擾用戶。而且默認會加載圖片類 Mixed Content，其它如 JavaScript、CSS 等資源還是會根據(jù)用戶選擇來決定是否加載。

現(xiàn)代瀏覽器

現(xiàn)代瀏覽器（Chrome、Firefox、Safari、Microsoft Edge），基本上都遵守了 W3C 的 Mixed Content 規(guī)范，將 Mixed Content 分為 Optionally-blockable 和Blockable 兩類：

Optionally-blockable 類 Mixed Content 包含那些危險較小，即使被中間人篡改也無大礙的資源。現(xiàn)代瀏覽器默認會加載這類資源，同時會在控制臺打印警告信息。這類資源包括：

• 通過 <img> 標簽加載的圖片（包括 SVG 圖片）；
• 通過 <video> / <audio> 和 <source> 標簽加載的視頻或音頻；
• 預讀的（Prefetched）資源；

除此之外所有的 Mixed Content 都是 Blockable，瀏覽器必須禁止加載這類資源。所以現(xiàn)代瀏覽器中，對于 HTTPS 頁面中的 JavaScript、CSS 等 HTTP 資源，一律不加載，直接在控制臺打印錯誤信息。

移動瀏覽器

前面所說都是桌面瀏覽器的行為，移動端情況比較復雜，當前大部分移動瀏覽器默認都允許加載 Mixed Content。也就是說，對于移動瀏覽器來說，HTTPS 中的 HTTP 資源，無論是圖片還是 JavaScript、CSS，默認都會加載。

一般選擇了全站 HTTPS，就要避免出現(xiàn) Mixed Content，頁面所有資源請求都走 HTTPS 協(xié)議才能保證所有平臺所有瀏覽器下都沒有問題。

合理使用 CSP

CSP，全稱是 Content Security Policy，它有非常多的指令，用來實現(xiàn)各種各樣與頁面內(nèi)容安全相關的功能。這里只介紹兩個與 HTTPS 相關的指令，更多內(nèi)容可以看我之前寫的《Content Security Policy Level 2 介紹》。

block-all-mixed-content

前面說過，對于 HTTPS 中的圖片等 Optionally-blockable 類 HTTP 資源，現(xiàn)代瀏覽器默認會加載。圖片類資源被劫持，通常不會有太大的問題，但也有一些風險，例如很多網(wǎng)頁按鈕是用圖片實現(xiàn)的，中間人把這些圖片改掉，也會干擾用戶使用。

通過 CSP 的 block-all-mixed-content 指令，可以讓頁面進入對混合內(nèi)容的嚴格檢測（Strict Mixed Content Checking）模式。在這種模式下，所有非 HTTPS 資源都不允許加載。跟其它所有 CSP 規(guī)則一樣，可以通過以下兩種方式啟用這個指令：

HTTP 響應頭方式：

Content-Security-Policy: block-all-mixed-content

<meta> 標簽方式：

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

upgrade-insecure-requests

歷史悠久的大站在往 HTTPS 遷移的過程中，工作量往往非常巨大，尤其是將所有資源都替換為 HTTPS 這一步，很容易產(chǎn)生疏漏。即使所有代碼都確認沒有問題，很可能某些從數(shù)據(jù)庫讀取的字段中還存在 HTTP 鏈接。

而通過 upgrade-insecure-requests 這個 CSP 指令，可以讓瀏覽器幫忙做這個轉換。啟用這個策略后，有兩個變化：

• 頁面所有 HTTP 資源，會被替換為 HTTPS 地址再發(fā)起請求；
• 頁面所有站內(nèi)鏈接，點擊后會被替換為 HTTPS 地址再跳轉；

跟其它所有 CSP 規(guī)則一樣，這個指令也有兩種方式來啟用，具體格式請參考上一節(jié)。需要注意的是 upgrade-insecure-requests 只替換協(xié)議部分，所以只適用于 HTTP/HTTPS 域名和路徑完全一致的場景。

合理使用 HSTS

在網(wǎng)站全站 HTTPS 后，如果用戶手動敲入網(wǎng)站的 HTTP 地址，或者從其它地方點擊了網(wǎng)站的 HTTP 鏈接，依賴于服務端 301/302 跳轉才能使用 HTTPS 服務。而第一次的 HTTP 請求就有可能被劫持，導致請求無法到達服務器，從而構成 HTTPS 降級劫持。

HSTS 基本使用

這個問題可以通過 HSTS（HTTP Strict Transport Security，RFC6797）來解決。HSTS 是一個響應頭，格式如下：

Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age，單位是秒，用來告訴瀏覽器在指定時間內(nèi)，這個網(wǎng)站必須通過 HTTPS 協(xié)議來訪問。也就是對于這個網(wǎng)站的 HTTP 地址，瀏覽器需要先在本地替換為 HTTPS 之后再發(fā)送請求。

includeSubDomains，可選參數(shù)，如果指定這個參數(shù)，表明這個網(wǎng)站所有子域名也必須通過 HTTPS 協(xié)議來訪問。

preload，可選參數(shù)，后面再介紹它的作用。

HSTS 這個響應頭只能用于 HTTPS 響應；網(wǎng)站必須使用默認的 443 端口；必須使用域名，不能是 IP。而且啟用 HSTS 之后，一旦網(wǎng)站證書錯誤，用戶無法選擇忽略。

HSTS Preload List

可以看到 HSTS 可以很好的解決 HTTPS 降級攻擊，但是對于 HSTS 生效前的首次 HTTP 請求，依然無法避免被劫持。瀏覽器廠商們?yōu)榱私鉀Q這個問題，提出了 HSTS Preload List 方案：內(nèi)置一份列表，對于列表中的域名，即使用戶之前沒有訪問過，也會使用 HTTPS 協(xié)議；列表可以定期更新。

目前這個 Preload List 由 Google Chrome 維護，Chrome、Firefox、Safari、IE 11 和 Microsoft Edge 都在使用。如果要想把自己的域名加進這個列表，首先需要滿足以下條件：

• 擁有合法的證書（如果使用 SHA-1 證書，過期時間必須早于 2016 年）；
• 將所有 HTTP 流量重定向到 HTTPS；
• 確保所有子域名都啟用了 HTTPS；
• 輸出 HSTS 響應頭：
  • max-age 不能低于 18 周（10886400 秒）；
  • 必須指定 includeSubdomains 參數(shù)；
  • 必須指定 preload 參數(shù)；

即便滿足了上述所有條件，也不一定能進入 HSTS Preload List，更多信息可以看這里。通過 Chrome 的 chrome://net-internals/#hsts 工具，可以查詢某個網(wǎng)站是否在 Preload List 之中，還可以手動把某個域名加到本機 Preload List。

對于 HSTS 以及 HSTS Preload List，我的建議是只要你不能確保永遠提供 HTTPS 服務，就不要啟用。因為一旦 HSTS 生效，你再想把網(wǎng)站重定向為 HTTP，之前的老用戶會被無限重定向，唯一的辦法是換新域名。

CDN 安全

對于大站來說，全站遷移到 HTTPS 后還是得用 CDN，只是必須選擇支持 HTTPS 的 CDN 了。如果使用第三方 CDN，安全方面有一些需要考慮的地方。

合理使用 SRI

HTTPS 可以防止數(shù)據(jù)在傳輸中被篡改，合法的證書也可以起到驗證服務器身份的作用，但是如果 CDN 服務器被入侵，導致靜態(tài)文件在服務器上被篡改，HTTPS 也無能為力。

W3C 的 SRI（Subresource Integrity）規(guī)范可以用來解決這個問題。SRI 通過在頁面引用資源時指定資源的摘要簽名，來實現(xiàn)讓瀏覽器驗證資源是否被篡改的目的。只要頁面不被篡改，SRI 策略就是可靠的。

有關 SRI 的更多說明請看我之前寫的《Subresource Integrity 介紹》。SRI 并不是 HTTPS 專用，但如果主頁面被劫持，攻擊者可以輕松去掉資源摘要，從而失去瀏覽器的 SRI 校驗機制。

了解 Keyless SSL

另外一個問題是，在使用第三方 CDN 的 HTTPS 服務時，如果要使用自己的域名，需要把對應的證書私鑰給第三方，這也是一件風險很高的事情。

CloudFlare 公司針對這種場景研發(fā)了 Keyless SSL 技術。你可以不把證書私鑰給第三方，改為提供一臺實時計算的 Key Server 即可。CDN 要用到私鑰時，通過加密通道將必要的參數(shù)傳給 Key Server，由 Key Server 算出結果并返回即可。整個過程中，私鑰都保管在自己的 Key Server 之中，不會暴露給第三方。

CloudFlare 的這套機制已經(jīng)開源，如需了解詳情，可以查看他們官方博客的這篇文章：Keyless SSL: The Nitty Gritty Technical Details。

好了，本文先就寫到這里，需要注意的是本文提到的 CSP、HSTS 以及 SRI 等策略都只有最新的瀏覽器才支持，詳細的支持度可以去 CanIUse 查。切換到 HTTPS 之后，在性能優(yōu)化上有很多新工作要做，這部分內(nèi)容我在之前的博客中寫過很多，這里不再重復，只說最重要的一點：既然都 HTTPS 了，趕緊上 HTTP/2 才是正道。

原文：https://imququ.com/post/sth-about-switch-to-https.html