HTTPS 协议深度解析,为什么小程序开发者需要关注

便宜SSL1个月前 (08-17)宝塔SSL证书147

一、微信小程序接入的困境



农历新年将至,微信小程序也如期发布,开发者在接入微信小程序过程中,会遇到以 下问题:


小程序要求必须通过 HTTPS 完成与服务端通信,若开发者选择自行搭建 HTTPS 服 务,那需要自行 SSL 证书申请、部署,完成 https 服务搭建,效率低流程冗长;且 HTTPS 的 SSL 加解析,对服务器的 CPU 有极大的开销。


不仅仅是小程序,苹果 iOS 平台,Google Android 在 2017 也逐步强制要求开发者使用 HTTPS 接入。HTTPS 似乎是一个绕不开的门槛,让不少开发者头痛不已。


针对以上问题,腾讯云的负载均衡服务(cloud load balance),希望通过对 HTTPS 的性能优化,提供一键式的 SSL 证书申请服务,降低 HTTPS 的应用门槛和使用成本,让开发者能快速接入微信小程序等服务。首先,先让我们看看 HTTP 与 HTTPS 的对比,逐一解开您的谜团。



二、为什么要接入 HTTPS—HTTP 的安全风险



HTTP 协议是一个非常简单和高效的协议,互联网大部分的主流应用默认都是使用的HTTP。由于性能和上个世纪 90 年代使用环境的限制,HTTP 协议本身并不是一个为了安全设计的协议,既没有身份认证,也没有一致性检验,最头疼的是,HTTP 所有的内容都是明文传输的。


另外一方面,互联网的发展也是日新月异,各种 HTTP 应用不断地渗透到人们生活的方方面面。不管是社交、购物、金融、游戏、还是搜索,这些 HTTP 服务都能带给人们极大的便捷,提升生活质量和效率。


显然,HTTP 和人们生活及经济利益密切相关,遗憾的是,它不安全。也就意味着这里一 定潜藏着巨大的安全隐患。这些隐患又集中表现在如下两方面:


1、隐私泄露



由于 HTTP 本身是明文传输,用户和服务端之间的传输内容都能被中间者查看。也就是说 你在网上搜索、购物、访问的网点、点击的页面等信息,都可以被「中间人」获取。由于国人大多不太重视隐私的保护,这里的风险比较隐性,伤害后果也不太好定量评估。已知的一些比较严重的隐私泄露事件包括:


  1. QQ 登陆态被不法分子窃取,然后在异地登陆,进行广告和欺诈行为。

  2. 用户手机号和身份信息泄露。

  3. 用户网上行为泄露。比如搜索了一所医院,很快就会有人打电话进行推广(非效果广告)。


2、页面劫持



隐私泄露的风险比较隐蔽,用户基本感知不到。但另外一类劫持的影响就非常明显非常直接了——页面劫持,也就是直接篡改用户的浏览页面。有很多页面劫持很简单粗暴,直接插入第三方广告或者运营商的流量提示信息。


相关文章

Jmeter导入https证书

找了一个支付宝的网站尝试。https://memberprod.alipay.com/account/reg/index.htm我用的是chrome,点这个小锁如果是IE也可以在网页上右键,属性,高级,证书 看到如下画面,点击co...

为什么要购买SSL证书

SSL 证书提供了一种在互联网上身份验证的方式,是用来标识和证明通信双方身份的数字信息文件。使用 SSL 证书的网站,可以保证用户和服务器间信息交换的保密性,具有不可窃听、不可更改、不可否认、不可冒充的功能。防止中间人流量劫持HTTPS加密...

此网站出具的安全证书已过期或还未生效。

问题:此网站出具的安全证书已过期或还未生效。这个标识网站使用的SSL证书已经过期,请先检查网站证书的有效期,如果网站证书有效期在本日以后,则请检查本地电脑的日期设置,是否正确。如果证书过期了,请尽快联系便宜SSL客服,续费!就能处理好SSL...

Ubuntu系统Apache 2部署SSL证书

本文档为您介绍了如何在Ubuntu系统以及Apache2中安装阿里云SSL证书。环境准备操作系统:UbuntuWeb服务器:Apache 2前提条件已从SSL证书控制台下载Apache服务器证书。已安装Open SSL。操作步骤运行以下命令...

Springboot添加https证书

1.证书放在位置2.编写application.properties配置文件3.编写代码 在DemoApplication编写@SpringBootApplication public class DemoApplic...

华为云发布SSL证书管理服务

喜欢上网的用户都知道,打开很多网站,比如百度、淘宝的时候,在浏览器左上角会出现一把绿色的锁,这把绿色锁表明该站已使用了HTTPS加密保护。其实不仅是互联网巨头,大部分网站为提升安全性,都会使用SSL证书进行HTTPS网站数据的传输加密,尤其...

安装了SSL证书网站就100%安全了

误区5:安装了SSL证书网站就100%安全了很多人以为SSL证书是一把万能钥匙,有了SSL证书网站所有安全问题都能解决了。实际上SSL证书只是实现了HTTPS协议传输,满足了网络通讯传输加密和服务器身份验证这两个安全需求,以达到防窃取、防篡...

申请一张SSL证书——部署HTTPS、HTTP 2之前的必修课

受到Google、Apple、百度、阿里巴巴、Amazon等中外巨头的影响,许多网站已经部署了HTTPS,更多的网站则在思考如何部署HTTPS。HTTP/2协议进一步推动了HTTPS的普及——部署HTTP/2不是必须基于SSL/TLS,但当...

Nginx配置HTTPS证书

1:创建私钥 长度2048openssl genrsa -out privkey.pem 2048##完成后会在当前目录生成私钥文件 2:自己制作证书openssl req -new -x509 -key privkey.pem...

网站部署自签名的SSL证书怎么样?

网站部署自签名的ssl证书是不可取的,因为它有很多不利的地方https自签名证书即自签名ssl证书,只适合内部使用或测试需要,网站使用自签名SSL证书存在极大的风险,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持S...