瞭解SSL認證從HTTPS開始 開發人員繞不開的“劫”

標籤：小程式   程式   ssl   小程式   htm   角色   金融   部署   www.   

小程式上線已經有很長一段時間了，而開發人員在接入小程式的過程中，會遇到一些問題，例如小程式要求必須通過HTTPS完成服務端通訊，開發人員需搭建HTTPS服務，進行 SSL 憑證申請、部署，完成HTTPS服務搭建。

不僅僅是小程式，蘋果 iOS 平台，Google，Android 在今年也逐步強制要求開發人員使用 HTTPS 接入。HTTPS 似乎是一個繞不開的“劫”，讓不少開發人員費心不已。

為什麼開發人員繞不開“HTTPS”

如果要繞開HTTPS那麼就一定要說說HTTP協議，HTTP 協議是一個非常簡單和高效的協議，互連網大部分的應用預設都是使用的HTTP。由於效能和上個世紀 90 年代使用環境的限制，HTTP 協議本身並不是一個為了安全設計的協議，既沒有身份認證，也沒有一致性檢驗，最不符合現在安全要求的是HTTP所有的內容都是明文傳輸的。

另一方面，互連網是一個發展快速的行業，各類的應用已經滲透到人們的生活中，不管是遊戲、金融、購物、社交還是用到最多的搜尋，這些服務都能帶給人們極大的便捷，提升生活品質和效率。

但遺憾的是，大多通過HTTP服務的應用都隱藏著巨大的安全隱患，它不安全。這些安全隱患又集中表現在如下兩方面：

1、隱私泄露

由於HTTP本身是明文傳輸，使用者和服務端之間的傳輸內容都能被中間人查看。也就是說你在網上搜尋、購物、訪問的網點、點擊的內容資訊等，都可以被“中間人”擷取。由於國內對於隱私保護的重視度不高，而風險又比較隱性，造成的損失及後果也不太好評估。已知的一些比較嚴重的隱私泄露事件包括：

QQ登陸資訊被不法分子竊取，然後在異地登陸，進行廣告宣傳和欺詐行為。

使用者手機號和身份資訊泄露。使用者在頁面中的搜尋行為泄露。比如搜尋了一所醫院，很快就會有人打電話進行推廣(非效果廣告)。

2、頁面劫持

隱私泄露的風險不易發現，使用者感知度很低。但另外一類劫持的影響就非常明顯而直接了——頁面劫持，也就是直接篡改使用者的瀏覽頁面。有很多頁面劫持是非常簡單粗暴的，直接插入第三方廣告或者電訊廠商的流量提示資訊。

HTTPS 是解決劫持的核武器：HTTPS 為什麼能很好的解決劫持呢?主要是三大武器：

1、身份認證—防假冒，防抵賴

每次建立一個全新的 HTTPS 串連時，都需要對身份進行認證，確保使用者訪問的是正確的目的網站。

2、內容加密—防竊聽

內容加密意味端對端的通訊內容全都是密文，中間人不能直接查看到內容，HTTPS所有的應用程式層內容都是通過對稱式加密來實現加密和解密的。

3、一致性校正—防篡改

通過對資料和共用密鑰的MAC碼來防止中間人篡改內容，確保資料的完整性和一致性。

通過以上介紹，相信開發人員明白了為什麼小程式，蘋果 iOS 平台，Google， Android都希望大家部署SSL認證，這個開發人員繞不開的“劫”並不是真正的劫，而是資訊安全傳輸的加密者保護者，是個不能繞開的，“保護者”在互連網中擔任著非常重要的角色使資訊不被泄露，篡改，竊聽及劫持。

瞭解SSL認證從HTTPS開始 開發人員繞不開的“劫”