了解SSL證書從HTTPS開始 開發(fā)者繞不開的“劫”
編輯:
點擊次數(shù):
正在讀取 更新時間:2017-04-19
微信小程序上線已經(jīng)有很長一段時間了��,而開發(fā)者在接入小程序的過程中����,會遇到一些問題,例如小程序要求必須通過HTTPS完成服務(wù)端通信��,開發(fā)者需搭建HTTPS服務(wù),進行 SSL 證書申請��、部署�����,完成HTTPS服務(wù)搭建����。
不僅僅是小程序,蘋果 iOS 平臺���,Google���,Android 在今年也逐步強制要求開發(fā)者使用 HTTPS 接入。HTTPS 似乎是一個繞不開的“劫”�����,讓不少開發(fā)者費心不已����。
為什么開發(fā)者繞不開“HTTPS”
如果要繞開HTTPS那么就一定要說說HTTP協(xié)議����,HTTP 協(xié)議是一個非常簡單和高效的協(xié)議���,互聯(lián)網(wǎng)大部分的應(yīng)用默認都是使用的HTTP。由于性能和上個世紀 90 年代使用環(huán)境的限制����,HTTP 協(xié)議本身并不是一個為了安全設(shè)計的協(xié)議,既沒有身份認證���,也沒有一致性檢驗�����,最不符合現(xiàn)在安全要求的是HTTP所有的內(nèi)容都是明文傳輸?shù)摹?/p>
另一方面�����,互聯(lián)網(wǎng)是一個發(fā)展快速的行業(yè)����,各類的應(yīng)用已經(jīng)滲透到人們的生活中��,不管是游戲��、金融、購物�、社交還是用到最多的搜索,這些服務(wù)都能帶給人們極大的便捷��,提升生活質(zhì)量和效率����。
但遺憾的是,大多通過HTTP服務(wù)的應(yīng)用都隱藏著巨大的安全隱患����,它不安全。這些安全隱患又集中表現(xiàn)在如下兩方面:
1�、隱私泄露
由于HTTP本身是明文傳輸,用戶和服務(wù)端之間的傳輸內(nèi)容都能被中間人查看�����。也就是說你在網(wǎng)上搜索���、購物、訪問的網(wǎng)點�、點擊的內(nèi)容信息等,都可以被“中間人”獲取�。由于國內(nèi)對于隱私保護的重視度不高����,而風(fēng)險又比較隱性�����,造成的損失及后果也不太好評估�。已知的一些比較嚴重的隱私泄露事件包括:
QQ登陸信息被不法分子竊取,然后在異地登陸����,進行廣告宣傳和欺詐行為。
用戶手機號和身份信息泄露�。用戶在頁面中的搜索行為泄露。比如搜索了一所醫(yī)院�����,很快就會有人打電話進行推廣(非效果廣告)�。
2、頁面劫持
隱私泄露的風(fēng)險不易發(fā)現(xiàn)�,用戶感知度很低。但另外一類劫持的影響就非常明顯而直接了——頁面劫持��,也就是直接篡改用戶的瀏覽頁面����。有很多頁面劫持是非常簡單粗暴的�,直接插入第三方廣告或者運營商的流量提示信息�����。
HTTPS 是解決劫持的核武器:HTTPS 為什么能很好的解決劫持呢?主要是三大武器:
1���、身份認證—防假冒�����,防抵賴
每次建立一個全新的 HTTPS 連接時����,都需要對身份進行認證���,確保用戶訪問的是正確的目的網(wǎng)站�����。
2���、內(nèi)容加密—防竊聽
內(nèi)容加密意味端對端的通信內(nèi)容全都是密文,中間人不能直接查看到內(nèi)容��,HTTPS所有的應(yīng)用層內(nèi)容都是通過對稱加密來實現(xiàn)加密和解密的��。
3���、一致性校驗—防篡改
通過對數(shù)據(jù)和共享密鑰的MAC碼來防止中間人篡改內(nèi)容�,確保數(shù)據(jù)的完整性和一致性�。
通過以上介紹,相信開發(fā)者明白了為什么微信小程序���,蘋果 iOS 平臺���,Google, Android都希望大家部署SSL證書�,這個開發(fā)者繞不開的“劫”并不是真正的劫,而是信息安全傳輸?shù)募用苷弑Wo者����,是個不能繞開的,“保護者”在互聯(lián)網(wǎng)中擔任著非常重要的角色使信息不被泄露����,篡改��,竊聽及劫持���。
部署SSL證書小編推薦天威誠信(http://www.itrus.cn/),國內(nèi)最早引入Symantec SSL證書的CA��,擁有豐富的應(yīng)對和解決各種復(fù)雜及突發(fā)情況的專業(yè)服務(wù)支持團隊����,可以為用戶提供最優(yōu)質(zhì)的本地化服務(wù)與技術(shù)支持。
