小程序为什么要使用HTTPS

微信公开课小程序热门讨论「小程序为什么要使用HTTPS」最新回复-为了保护小程序应用安全，微信官方的需求文档要求，每个微信小程序必须事先设置一个通讯域名，并通过HTTPS请求进行网络通信，不满足条件的域名和协议无法请求。因此开发者应先准备好配置好HTTPS证书的域名，还没有配置HTTPS要赶紧升级。小程序升级https方案
简单说就是更安全不会被劫持跳转HTTPS是加密的协议不像HTTP那样可以直接获取到页面信息为什么要接入HTTPS—HTTP的安全风险HTTP协议是一个非常简单和高效的协议，互联网大部分的主流应用默认都是使用的HTTP。由于性能和上个世纪90年代使用环境的限制，HTTP协议本身并不是一个为了安全设计的协议，既没有身份认证，也没有一致性检验，最头疼的是，HTTP所有的内容都是明文传输的。另外一方面，互联网的发展也是日新月异，各种HTTP应用不断地渗透到人们生活的方方面面。不管是社交、购物、金融、游戏、还是搜索，这些HTTP服务都能带给人们极大的便捷，提升生活质量和效率。显然，HTTP和人们生活及经济利益密切相关，遗憾的是，它不安全。也就意味着这里一定潜藏着巨大的安全隐患。这些隐患又集中表现在如下两方面：1、隐私泄露由于HTTP本身是明文传输，用户和服务端之间的传输内容都能被中间者查看。也就是说你在网上搜索、购物、访问的网点、点击的页面等信息，都可以被「中间人」获取。由于国人大多不太重视隐私的保护，这里的风险比较隐性，伤害后果也不太好定量评估。已知的一些比较严重的隐私泄露事件包括：1、QQ登陆态被不法分子窃取，然后在异地登陆，进行广告和欺诈行为。2、用户手机号和身份信息泄露。3、用户网上行为泄露。比如搜索了一所医院，很快就会有人打电话进行推广(非效果广告)。2、页面劫持隐私泄露的风险比较隐蔽，用户基本感知不到。但另外一类劫持的影响就非常明显非常直接了——页面劫持，也就是直接篡改用户的浏览页面。有很多页面劫持很简单粗暴，直接插入第三方广告或者运营商的流量提示信息。但也有一些劫持做得比较隐蔽，换成HTTPS访问，就没有这个工具页面，显然是被劫持了。3、劫持路径及分类那劫持到底是如何产生的呢?从技术上来讲比较简单，在内容经过的地方进行监听篡改就行了。但要想把整个劫持的产业链条摸清楚，需要深入黑产内部，比较困难。有一点可以肯定的是，劫持大部分都是在中间的网络节点发生的，又叫「中间人」(MITM，maninthemiddle)。由于信息传输都需要经过上述的「中间人节点」，它们又拥有信息的读写权限，如果信息没有加密，也没有校验，那么想要查看隐私，篡改页面，对于「中间人」来说可谓是轻而易举。那劫持又有哪些主要的分类呢?根据劫持路径划分的话，主要三类：DNS劫持，客户端劫持和链路劫持。根据我们的不完全统计，业务遇到的绝大部分劫持(90%)都属于链路劫持。HTTPS是解决链路劫持的核武器HTTPS为什么能很好的解决链路劫持呢?主要是三大武器:1、身份认证—防假冒，防抵赖每次建立一个全新的HTTPS连接时，都需要对身份进行认证，确保用户访问的是正确的目的网站。2、内容加密—防窃听内容加密意味端对端的通信内容全都是密文，中间人无法直接查看到明文，HTTPS所有的应用层内容都是通过对称加密来实现加密和解密的。3、一致性校验—防篡改通过对数据和共享密钥的MAC码来防止中间者篡改消息内容，确保数据的一致性。四、HTTPS普及之痛事实上HTTPS1995年就诞生了，是一个非常古老、成熟的协议。同时又能很好地防止内容劫持，保护用户隐私。但是为什么一直到今天，还有大部分的网站不支持HTTPS，只使用HTTP呢?影响HTTPS普及的主要原因可以概括为两个字：「慢」和「贵」。1、慢在未经任何优化的情况下，HTTPS会严重降低用户的访问速度。主要因素包括:网络耗时。由于协议的规定，必须要进行的网络传输。比如SSL完全握手，302跳转等。最坏情况下可能要增加7个RTT。计算耗时。无论是客户端还是服务端，都需要进行对称加解密，协议解析，私钥计算，证书校验等计算，增加大量的计算时间。2、贵HTTPS的贵，主要体现在如下三方面：1、服务器成本。HTTPS的私钥计算会导致服务端性能的急剧下降，甚至不到HTTP协议的十分之一，也就是说，如果HTTP的性能是10000cps，HTTPS的性能可能只有几百cps，会增加数倍甚至数十倍的服务器成本。2、证书成本。根据证书个数及证书类型，一年可能需要花费几百到几百万不等的证书成本。3、开发和运维成本。HTTPS协议比较复杂，openssl的开源实现也经常发生安全BUG，包括协议的配置，证书的更新，过期监控，客户端的兼容等一系列问题都需要具备专业背景的技术人员跟进处理。 更多有关「小程序为什么要使用HTTPS」的疑问请扫码关注微信公开课+小程序！