Алгоритмы Brotli, рекомпрессия и HSTS: что нового предлагает DDoS-GUARD и причём тут швейцарские булки



Здравствуйте!
Быстрая загрузка сайта — путь к вершинам поисковой выдачи, высокой конверсии и довольным клиентам. DDoS-GUARD предлагает передовые решения для скорейшей и безопасной загрузки сайта без потерь контента и ошибок 404. Сегодня мы расскажем о трех современных технологиях, доступных клиентам DDoS-GUARD — как они работают и зачем вообще нужны.

1. Сжатие GZIP/Brotli
Brotli — традиционная швейцарская булочка. А ещё именно так специалисты Google назвали отличный алгоритм сжатия данных, уменьшающий их размер при «запаковывании» без потерь содержимого. Последние версии алгоритмов существенно ускоряют загрузку файлов HTML, CSS, JavaScript — плоти и крови Вашего сайта. Brotli работает у 9 из 10 пользователей Сети: если у гостей Вашего сайта Chrome моложе 51 версии, мобильный Chrome или любой браузер на основе Chromium – Opera, Яндекс.Браузер или Firefox новых версий — им доступно такое сжатие. У всех остальный сайт загрузится по привычным алгоритмам GZIP.

Теперь наши клиенты могут сжимать трафик алгоритмами Brotli. Такая опция доступна для всех тарифов.

2. Эвристическая рекомпрессия
Эта услуга объединяет мощности алгоритмов сжатия GZIP и Brotli. По данным исследований CertSimple, Brotli сжимает лучше на 14-21%, в зависимости от типа трафика (а по оценкам некоторых системных администраторов — на 25-30%). Механизмы DDoS-GUARD могут распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их посредством Brotli – если браузер Вашего пользователя поддерживает более совершенный алгоритм. Более того, перед началом эвристической рекомпрессии система определяет, какой из алгоритмов сжатия более продуктивен в каждом конкретном случае — и запускает именно его.

Данная технология ориентирована на тех, кто придает значение каждому сэкономленному байту и каждой выигранной милисекунде. Она доступна всем пользователям тарифных планов Normal и выше.

3. HSTS: защита от атак «Man-in-the-middle»
HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в Вашем браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование. Как это работает? Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом. Это защитит Вас и Ваших клиентов от атаки man-in-the-middle с подложным сертификатом. Ваши пользователи не смогут зайти на сайт злоумышленника, выдающего себя за Вас, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности «все равно перейти на небезопасный сайт».

Важно: для включения этой функции необходимо настроить HTTPS на всех Ваших поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы. Гости Вашего сайта вместо страницы увидят только сообщение о небезопасности соединения, а «откат» изменений в аварийном режиме может занять значительное время.

DDoS-GUARD всегда на страже Вашей скорости и безопасности.
Оставайтесь с нами — оставайтесь под защитой.
https://ddos-guard.net
Выделенные серверы OVH
Выделенные серверы Hetzner

2 комментария

dline
Несколько лет назад веб-мастера начали устанавливать на свои ресурсы SSL-сертификаты для повышения безопасности пользовательских данных. Однако, если вы разбираетесь в технологии, этого может быть недостаточно для максимальной безопасности. В вопросе разбирались специалисты digital-агентства Директ Лайн.

Дело в том, что пользователь, вводящий адрес домена в строке браузера, сначала попадет на незащищенную версию сайта, а затем будет перенаправлен на версию по протоколу HTTPS. Такой принцип работы сервера позволяет злоумышленникам получать доступ к пользовательским данным различными способами.
Решить эту проблему, как раз позволяет технология HSTS.

tendence
Для работы HSTS (HTTP Strict Transport Security) очевидно необходим действующий SSL-сертификат, настроенный на веб-сервере. Пожалуй, самым популярным и распространённым из всех выпущенных SSL являются сертификаты удостоверяющего центра Let’s Encrypt. Ими защищены более чем 250 миллионов доменных имён.

30 сентября этого года истёк срок действия корневого сертификата IdenTrust DST Root CA X3, которым подписаны SSL, выпущенные Let's Encrypt. Это стало неприятной неожиданностью для пользователей некоторых устаревших операционных систем, таких как:

Android до версии 7.1.1
MacOS 10.12.0 и старше
Windows до XP Service Pack 3
iOS-устройств до версии iOS 10

Список доверенных корневых сертификатов на них не был обновлён и сайты с Let's Encrypt перестали открываться у таких пользователей.

Исправление проблемы обновлением самого устройства не всегда возможно. Например, по экономическим причинам. В таких случаях со стороны клиента решением может быть установка вручную нового корневого сертификата ISRG Root X1, а со стороны сервера — замена бесплатного сертификата от Let's Encrypt на платный SSL сертификат от другого удостоверяющего центра.

Оставить комментарий