HTTPS 协议深度解析,为什么小程序开发者需要关注

便宜SSL1年前 (2021-08-17)宝塔SSL证书599

一、微信小程序接入的困境



农历新年将至,微信小程序也如期发布,开发者在接入微信小程序过程中,会遇到以 下问题:


小程序要求必须通过 HTTPS 完成与服务端通信,若开发者选择自行搭建 HTTPS 服 务,那需要自行 SSL 证书申请、部署,完成 https 服务搭建,效率低流程冗长;且 HTTPS 的 SSL 加解析,对服务器的 CPU 有极大的开销。


不仅仅是小程序,苹果 iOS 平台,Google Android 在 2017 也逐步强制要求开发者使用 HTTPS 接入。HTTPS 似乎是一个绕不开的门槛,让不少开发者头痛不已。


针对以上问题,腾讯云的负载均衡服务(cloud load balance),希望通过对 HTTPS 的性能优化,提供一键式的 SSL 证书申请服务,降低 HTTPS 的应用门槛和使用成本,让开发者能快速接入微信小程序等服务。首先,先让我们看看 HTTP 与 HTTPS 的对比,逐一解开您的谜团。



二、为什么要接入 HTTPS—HTTP 的安全风险



HTTP 协议是一个非常简单和高效的协议,互联网大部分的主流应用默认都是使用的HTTP。由于性能和上个世纪 90 年代使用环境的限制,HTTP 协议本身并不是一个为了安全设计的协议,既没有身份认证,也没有一致性检验,最头疼的是,HTTP 所有的内容都是明文传输的。


另外一方面,互联网的发展也是日新月异,各种 HTTP 应用不断地渗透到人们生活的方方面面。不管是社交、购物、金融、游戏、还是搜索,这些 HTTP 服务都能带给人们极大的便捷,提升生活质量和效率。


显然,HTTP 和人们生活及经济利益密切相关,遗憾的是,它不安全。也就意味着这里一 定潜藏着巨大的安全隐患。这些隐患又集中表现在如下两方面:


1、隐私泄露



由于 HTTP 本身是明文传输,用户和服务端之间的传输内容都能被中间者查看。也就是说 你在网上搜索、购物、访问的网点、点击的页面等信息,都可以被「中间人」获取。由于国人大多不太重视隐私的保护,这里的风险比较隐性,伤害后果也不太好定量评估。已知的一些比较严重的隐私泄露事件包括:


  1. QQ 登陆态被不法分子窃取,然后在异地登陆,进行广告和欺诈行为。

  2. 用户手机号和身份信息泄露。

  3. 用户网上行为泄露。比如搜索了一所医院,很快就会有人打电话进行推广(非效果广告)。


2、页面劫持



隐私泄露的风险比较隐蔽,用户基本感知不到。但另外一类劫持的影响就非常明显非常直接了——页面劫持,也就是直接篡改用户的浏览页面。有很多页面劫持很简单粗暴,直接插入第三方广告或者运营商的流量提示信息。


相关文章

免费SSL or 付费SSL证书,该如何选择?

近年来Google、Apple、百度等公司不断推动HTTPS的普及,SSL证书作为HTTPS安全协议的必备配置,自然也成为了网站、App开发者最重要部署项目之一。又拍云于2016年联合国际顶级CA机构,提供Symantec、GeoTrust...

将域名添加到 Shopify

当您通过 Shopify 购买域名时,系统会自动将您的域名配置为与主域名配合使用。默认情况下,当您注册 Shopify 时,您的主域名会使用 examplestore.myshopify.com 格式。如果您想更改向浏览您的在线商店的客户显...

宝塔面板SSL证书文件存放目录位置

宝塔主机面板SSL证书文件存放在哪个目录下?环境吧分享宝塔面板SSL证书文件存放目录路径位置:宝塔SSL证书存放目录位置宝塔SSL证书文件存放路径:宝塔SSL证书目录:/www/server/panel/vhost/ssl/你的域名下SSL...

只有涉及支付的网站才需要安装SSL证书

误区3:只有涉及支付的网站才需要安装SSL证书在初期为了保障信息传输的加密性,避免用户敏感信息如银行卡号、账号、密码等信息被泄露,很多电商、金融、银行等与支付相关的网站率先安装了SSL证书,以保障用户的隐私和利益。但随着互联网的快速发展,如...

浅析SSL证书的工作原理

互联网的快速发展和普及极大方便了人们的工作和生活,但同时也带来了一定的安全隐患。因为传统的网络通信都使用的是HTTP传输协议,信息数据采用明文方式传输,全程公开暴露,很容易被人监听和劫持,同时HTTP协议无法验证通信双方身份,因此给了钓鱼网...

SSL 证书过期事件频发,切忌不要因小失大!

不久前,微博有了一个技术圈儿的热搜。 在同一时间,大量特斯拉车主纷纷反映 APP 出现大面积宕机,手机钥匙无法获取车辆信息,行车过程中无法点亮车内仪表盘和中控屏只能“盲开”。在紧急修复之后,特斯拉官方表示原因系 APP 域名证书(...

为Nginx配置Https证书

为了使服务更加安全,为站点配置Https证书,并实现访问Http强制跳转到Https,下面是我的Nginx配置:server {        listen     44...

菲律宾SSL证书申请

申请SSL证书的必要性【菲律宾吧】 防止运营商流量JC有很大的必要性怎么申请菲律宾SSL证书 - SSL证书申请完成后,进入控制台,找到SSL证书管理,点击进去可以查看到申请证书的详情。7 到这里,一个免费域名...

tomcat生成ssl证书

1.在cmd下进入tomcat目录:输入命令:keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -vali...

网络面经:使用HTTPS就绝对安全了吗?

朋友面试阿里,关于HTTPS被问了三道题,看看你能回到上几道题。第一,为什么使用HTTPS之后,通信就安全了?第二,HTTPS实现通信安全的原理是什么?第三,使用了HTTPS就绝对安全了吗?本篇文章就带大家一起聊聊HTTPS,顺便解答上面三...

SSL证书常见错误和解决办法

问题:此网站出具的安全证书不是由受信任的证书颁发机构颁发的。服务器正在使用的SSL证书不是通过正式的全球信任的CA颁发。推荐使用GlobalSign SSL,GeoTrust SSL ,Symante SSL证书, SSL通常是因为没有正确...

本页面包含有不安全的内容。

问题:本页面包含有不安全的内容。如果一个页面需要通过HTTPS访问被访问,则其中所有的元素都必须是HTTPS方式,如果有:图片、JS脚本,FLASH插件是通过HTTP方式 去调用的,就会出现这个错误,最常见的,就是调用flash播放插 件:...

如何在您的域上安装免费 SSL 证书 | SSL 免费 | SSL安装

你好朋友,在这个视频中,我们将看到如何在您的域上安装免费的 SSL 证书。🔗 ZeroSSL 网站链接:⏩ 博主视频播放列表:🎦 博主:✅ 🔥 如何在 Blogger 中添加类似 WordPress 的产品卡:☑️ 如何将您的博客网站重定向...

Nginx配置HTTPS证书

1:创建私钥 长度2048openssl genrsa -out privkey.pem 2048##完成后会在当前目录生成私钥文件 2:自己制作证书openssl req -new -x509 -key privkey.pem...

PKI及SSL协议分析

实验简介实验所属系列:安全协议应用与分析/网络安全与防护实验对象:本科/专科信息安全专业相关课程及专业:信息网络安全概论、网络攻击与防御技术、计算机网络实验时数(学分):2学时实验类别:实践实验类实验目的通过该实验了解和掌握证书服务的安装,...

宝塔面板安装SSL证书和支持HTTPS访问

宝塔面板后台自带SSL证书粘贴处,我们只需要将申请好的SSL证书的Certificate(证书)+Private Key(密匙)粘贴到宝塔面板所对应网站的后台即可。新手站长网分享宝塔面板网站安装SSL证书启用HTTPS的方法:教程分为两部分...

Tomcat服务器安装部署SSL证书教程

SSL证书通常是安装部署在服务器上的,比如常用的Tomcat、Jetty服务器等。之前小编已经介绍过Jetty服务器SSL证书安装部署教程,今天我们主要来看下在Tomcat服务器上安装部署SSL证书的介绍。1、安装部署SSL证书前,首先要购...