一、微信小程序接入的困境
农历新年将至微信小程序也如期发布开发者在接入微信小程序过程中信任度开发者在接入微信小程序过程中会遇到以下问题:
小程序要求必须通过 HTTPS 完成与服务端通信若开发者选择自行搭建 HTTPS 服务那需要自行 SSL 证书申请、部署完成 https 服务搭建效率低流程冗长;且 HTTPS 的 SSL 加解析对服务器的 CPU 有极大的开销。
不仅仅是小程序苹果 iOS 平台Google Android 在 2017 也逐步强制要求开发者使用 HTTPS 接入。HTTPS 似乎是一个绕不开的门槛让不少开发者头痛不已。
针对以上问题腾讯云的负载均衡服务(cloud load balance)希望通过对 HTTPS 的性能优化提供一键式的 SSL 证书申请服务降低 HTTPS 的应用门槛和使用成本让开发者能快速接入微信小程序等服务。首先SEO关键词让开发者能快速接入微信小程序等服务。首先先让我们看看 HTTP 与 HTTPS 的对比逐一解开您的谜团。
二、为什么要接入 HTTPS—HTTP 的安全风险HTTP 协议是一个非常简单和高效的协议互联网大部分的主流应用默认都是使用的HTTP。由于性能和上个世纪 90 年代使用环境的限制HTTP 协议本身并不是一个为了安全设计的协议既没有身份认证也没有一致性检验最头疼的是HTTP 所有的内容都是明文传输的。
另外一方面互联网的发展也是日新月异各种 HTTP 应用不断地渗透到人们生活的方方面面。不管是社交、购物、金融、游戏、还是搜索这些 HTTP 服务都能带给人们极大的便捷提升生活质量和效率。
显然HTTP 和人们生活及经济利益密切相关遗憾的是它不安全。也就意味着这里一 定潜藏着巨大的安全隐患。这些隐患又集中表现在如下两方面:
1、隐私泄露由于 HTTP 本身是明文传输用户和服务端之间的传输内容都能被中间者查看。也就是说 你在网上搜索、购物、访问的网点、点击的页面等信息都可以被「中间人」获取。由于国人大多不太重视隐私的保护这里的风险比较隐性伤害后果也不太好定量评估。已知的一些比较严重的隐私泄露事件包括:
QQ 登陆态被不法分子窃取然后在异地登陆进行广告和欺诈行为。
用户手机号和身份信息泄露。
用户网上行为泄露。比如搜索了一所医院很快就会有人打电话进行推广(非效果广告)。
2、页面劫持隐私泄露的风险比较隐蔽用户基本感知不到。但另外一类劫持的影响就非常明显非常直接了——页面劫持也就是直接篡改用户的浏览页面。有很多页面劫持很简单粗暴直接插入第三方广告或者运营商的流量提示信息。
但也有一些劫持做得比较隐蔽比如下面的京东页面劫持:其中上图是使用 HTTP 方面的页面顶部箭头所示的地方出现了一个购物推荐很逼真就像京东或者浏览器官方的工具。
但换成 HTTPS 访问就没有这个工具页面显然是被劫持了。
3、劫持路径及分类那劫持到底是如何产生的呢?从技术上来讲比较简单在内容经过的地方进行监听篡改就行了。但要想把整个劫持的产业链条摸清楚需要深入黑产内部比较困难。有一点可以肯定的是劫持大部分都是在中间的网络节点发生的又叫「中间人」(MITM man in the middle)。如下图所示:
由于信息传输都需要经过上述的「中间人节点」它们又拥有信息的读写权限如果信息没有加密也没有校验那么想要查看隐私篡改页面对于「中间人」来说可谓是轻而易举。
那劫持又有哪些主要的分类呢?根据劫持路径划分的话主要是下图所示的三类:
DNS 劫持客户端劫持和链路劫持。 根据我们的不完全统计业务遇到的绝大部分劫持 (90%)都属于链路劫持。
三、HTTPS 是解决链路劫持的核武器HTTPS 为什么能很好的解决链路劫持呢?主要是三大武器:
1、身份认证—防假冒防抵赖每次建立一个全新的 HTTPS 连接时都需要对身份进行认证确保用户访问的是正确的目的网站。
2、内容加密—防窃听内容加密意味端对端的通信内容全都是密文中间人无法直接查看到明文HTTPS 所有的应用层内容都是通过对称加密来实现加密和解密的。
3、一致性校验—防篡改通过对数据和共享密钥的 MAC 码来防止中间者篡改消息内容确保数据的一致性。
四、HTTPS 普及之痛