HTTPS时代全面到来，你准备好了吗？

时间 2019-11-10

标签 https 时代全面到来准备好了繁體版

原文原文链接

近一年可能有不少朋友发如今使用百度搜索时，是这个样子的:前端

如咱们所见，浏览器地址栏里的HTTP可能将成为永远的过去时，取而代之的是更安全的HTTPS。后端

首先，HTTPS是什么？

HTTPS是Http Over SSL，简单来讲就是HTTP的安全版本，在HTTP的基础上经过加密传输和身份认证保证了传输过程当中的安全性。咱们一般访问的网站大部分都是HTTP的，最简单的辨别方法能够看看网址是以http://开头仍是https://开头。跨域

HTTPS在国内的大型站点目前只用在部分帐户的登录和支付等环节。百度是国内第一个全站HTTPS的大型站点，缘由是其用户多，流量大。而可以上线HTTPS也会打消疑虑，使用户更加放心，对于国内其余站点是很好的示范，同时也在加速国内互联网HTTPS的进程。浏览器

启用HTTPS协议的根本缘由？

随着百度、京东等大公司纷纷用起了HTTPS，其根本缘由又是什么。使用HTTPS成本的降低特别是计算成本的降低是2015年HTTPS爆发的主要缘由。但网站开始作整站迁移至HTTPS的根本缘由却在于过多用户投诉网站上出现影响浏览体验的大面积广告，是指本来的网页被放置到一个iframe里，并注入了Flash广告。查证浏览器地址栏仍是正确的域名，没有被跳转。这只能说明是运营商劫持致使域名返回的内容不是来自网站的页面，而是被处理过的页面。这样可能带来的风险包括：跨域攻击、键盘记录、HTTPS证书伪造等，比通常钓鱼网站更危险。缓存

甚至一些用户访问网站时遭遇到DNS劫持也就是俗称的DNS钓鱼攻击，劫持DNS服务器后，经过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，致使对特定的网络不能反应或访问的是假网址。为了防止这种劫持，各大互联网公司只好选择HTTPS，进行数据加密而防止数据被篡改。安全

使用HTTPS将带来哪些影响？

使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。服务器

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程当中不被窃取、改变，确保数据的完整性。网络

HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增长了中间人攻击的成本。架构

虽然使用HTTPS大幅度地提升了安全性，有效保护了用户隐私，人们一般也会忽略一些将站点由HTTP转为HTTPS协议涉及到的问题。框架

HTTPS网络耗时增长

因为 HTTP和HTTPS都须要DNS解析，而且大部分状况下使用了DNS缓存。

如图可见，用户只须要完成TCP三次握手创建TCP链接就可以直接发送HTTP请求获取应用层数据，此外在整个访问过程当中也没有须要消耗计算资源的地方。

而HTTPS的访问过程，相比HTTP要复杂不少，在部分场景下，使用HTTPS访问有可能增长7个RTT。这种状况对于网站的响应速度有负面影响。据ACM CoNEXT数据显示，使用HTTPS协议极可能会使页面的加载时间延长近50%，严重影响了性能，而网站加载速度也是影响搜索引擎排名的一个很重要的因素。面对这种状况，一些工具能够对使用HTTPS协议的网站进行支持。

使用APM工具对应用前端性能关键指标进行监测

例如网络层时间也就是监测一个页面时，发生网络通信的总消耗时间。此项指标包含了DNS时间、创建链接时间、SSL握手时间、重定向时间、发出请求时间、收到第一个包时间、内容下载时间和关闭链接时间的总和。

经过将对性能关键指标进行监测获得的数据呈现给用户，用户能够得知性能瓶颈在哪里，从而定位加以改善。

成本

愈来愈多的站点采用了HTTPS协议，不过大多用于登录页面、或是存在交易信息的页面，不多网站选择全站采用HTTPS协议。不少站长每一年花在SSL证书上的费用不菲，这对于我的博客、或是小型站点来讲是一笔不小的开支。同时，整站迁移带来的人力成本也难以评估。

面对严重的劫持问题，HTTPS也许并非惟一的选择。

APM工具经过监测网站在某一时段的页面性能时可发现运营商劫持现象，从地域维度分析劫持的严重程度，经过页面元素瀑布图，能够查找到哪一个URL的页面框架中被加入了广告代码。经过查找到的被劫持的URL地址和嵌入的广告代码重现劫持现象。同时分析出该劫持现象的发生地区和发生次数。

而听云所拥有的DNS劫持分析功能能够经过“域名IP”维度查看域名被劫持到了哪些非法IP，并显示劫持的次数以及劫持率。经过“地域”维度查看被劫持用户所在省份排行：

如上图所示，DNS劫持最多的是天津市，而一周的总劫持次数高达2000次。经过对劫持进行分析，可以帮助用户快速的找到非法IP，精准定位劫持问题，提升可用性。

总的来讲，使用HTTPS在国内还只是起步阶段，如何平衡HTTPS带给网站的利弊还须要很长的实践之路。

关于阿里百川

阿里百川（baichuan.taobao.com)是阿里巴巴集团“云”+“端”的核心战略是阿里巴巴集团无线开放平台，基于世界级的后端服务和成熟的商业组件，经过“技术、商业及大数据”的开放，为移动创业者提供可快速搭建App、商业化APP并提高用户体验的解决方案；同时提供多元化的创业服务-物理空间、孵化运营、创业投资等，为移动创业者提供全面保障。