|
企业邮个性域名https证书接入和安全1、背景 越来越多的公司开始重视数据安全问题,有HTTP+SSL协议构建可进行加密传输、身份认证的网络协议,HTTPS在安全性上远超HTTP,谨防数据在传输过程中被窃取、篡改,能确保数据的完整性,进一步加强,保障企业信息交流沟通的安全性,一般被用于电商支付系统、银行、金融、政府、科研、搜索等高私密性的网站,google、Facebook等众多大型互联网公司均已宣布支持全站HTTPS,2017年1月1日,苹果对Apple Store 里所有应用APP部署HTTPS。 然而作为被广泛应用于Web浏览器和网站服务器传输数据的http协议存在网页劫持、钓鱼网页等引起用户不能正常使用甚至引起重要数据泄露问题。 https加密访问,需要有对应域名的证书,之前用户用https去访问自定义域名,但由于缺少域名的证书,导致只能通过http去访问,存在严重的安全性问题。因此腾讯企业邮率先提出了一套新的解决方案来实现个性域名https访问企业邮的方案。 2、为什么要试用HTTPS 数据的保密性(传统的HTTP协议数据包很容易被篡改,比如在国内最常见的运营商恶意流量劫持,插入广告等,试用HTTPS可以校验数据包的完整性,被篡改的数据包会拒收); 身份验证(HTTPS可以确保数据包被正确的送到指定的接收方,而不是第三方)。 3、HTTPS原理 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTT协议。HTTP协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。 4、证书安全性 近期国际知名的厂商发生过泄露用户秘钥,cookie等安全事件。腾讯企业邮为此提供一套安全保护措施来保障证书安全,接下来列举一些增强证书安全性的工作: (1)系统初始化的时候把证书加载到内存,证书由专门证书管理服务提供。 (2)验证上传的证书公钥与私钥的合法性,对证书在上传的时候会检查证书公钥与私钥是否匹配、证书域是否是当前域名匹配、证书是否被吊销、证书链是否合法、证书加密算法是否为老算法等。 (3)限制只支持知名证书提供商,杜绝中小证书提供商可能的证书风险。 (4)收缩证书管理权限,仅允许指定的访问。 (5)证书加密存储,保障证书存储的安全和稳定。 (6)定时检查现有证书的合法性,已经过期的证书不再加载。 总结 腾讯企业邮提供了一套新的解决方案实现个性域名的https接入和访问,弥补了https证书在部署和存储上的不足。在用户使用企业邮箱服务时,并不会有额外的速度延迟、增大问题,在安全性上,为避免私钥泄露,也做了大量的保障,用户可以放心的使用个性域名https方式访问腾讯企业邮。目前已经有近500个域名接入了企业邮箱Https个性域名。 |
