HTTPS时代已来，你作好准备了吗？

早在今年年初，Google在其安全博客上已经代表，从7月开始，Chrome68会将全部的HTTP网站标记为不安全。随后，Mozilla也代表，Firefox浏览器也准备将全部HTTP网站标记为不安全。

目前，Chrome68早已发布，正如 Google以前代表一致，在访问HTTP网站的时候，会在地址栏里显示不安全的惊叹号，比以前只显示惊叹号更加显眼了。做为用户不免内心会不安，由于咱们并不知道这网站上显示的内容是否是服务器提供的内容，咱们的帐号或密码是否会泄露。

 

纵观全球，近年来使用HTTPS网站的增加趋势仍是很明显的。下图是Chrome浏览器加载HTTPS网站的趋势，最上面这条线是美国，从2015年的不到50%，目前已经超过80%，最下面这条是日本，2015-2016年比较平稳的维持在25%左右，目前已经超过60%。从网络公开数据估算，国内HTTPS的加载占比在40% 左右，能够预见到将来一两年，会有愈来愈多的国内网站将切换到HTTPS。

 

全站HTTPS时代的到来，这也是最近愈来愈多的网站上HTTPS和更换证书的缘由。那么究竟什么是HTTPS？它为何会提高安全系数？CDN HTTPS又将如何作到安全性与性能同时提高？做为用户，又如何快速便捷的进行部署HTTPS全链路安全加速呢？本文将一一解答。

什么是HTTPS？

HTTPS里面的“S”表明“Security”，安全的HTTP。你们都知道HTTP是一个超文本传输协议，它的优势是简单、快速、灵活，它的缺点就是不安全，直接运行在TCP层之上，数据在网络上的传输是明文的，就能够被抓包并看到传输的内容，存在很是大的安全隐患。

互联网发展愈来愈快，网络也愈来愈发达与复杂，在一些利益的驱动下，一些恶意的运营商常常对用户的HTTP请求作劫持和篡改，若是一个网站如今还在用HTTP为用户提供服务，那必定会常常遇到网站被插入广告、泄露数据等问题。

由于安全——咱们须要HTTPS

解决以上问题，咱们就须要加密传输，这里有两种方法，一种方法是在HTTP的业务层作加密，这样作会很是地耦合，不通用。

另外一种就是用HTTPS，从网络模型上看就是在TCP层和HTTP层加了一个SSL层，由这一层来为HTTP层作数据的加解密服务：将HTTP层要发送的数据加密以后经过TCP来发送给对方，将接收到的加密数据解密以后交给HTTP，HTTP层不需关注加密和解密的细节而只需关注业务便可，这样对应用层来讲是透明的，也便于客户端和服务器的实现和升级。

HTTPS安全是由一套安全机制来保证的，主要包含这4个特性：机密性、完整性、真实性和不能否认性。

 

• 机密性是指传输的数据是采用Session Key（会话密钥）加密的，在网络上是看不到明文的。
• 完整性是指为了不网络中传输的数据被非法篡改，使用MAC算法来保证消息的完整性。
• 真实性是指通讯的对方是可信的，利用了PKI（Public Key Infrastructure 即『公钥基础设施』）来保证公钥的真实性。
• 不能否认性是这个消息就是你给我发的，没法假装和否定，是由于使用了签名的技术来保证的。

有了安全，真的会损失性能吗？

HTTPS如此安全，但仍然有部分用户对HTTPS是恐惧的。主要缘由是担忧上了HTTPS性能会变差，服务器扛不住压力，客户端要作SSL握手，增长首包时间，影响性能。

其实否则，阿里云CDN HTTPS进行了如下优化，能够在保障安全的同时，将加载性能提高。

第一，HTTP/2

HTTP/2是二进制协议，相比HTTP/1.1的文本协议就有很大的优点，能够基于二进制协议作不少的优化，好比多路复用、头部压缩、以及服务器推送。提升并发性能，提升传输效率。

下图HTTP/1.1和HTTP/2的网络加载瀑布图，能够看出右边 HTTP/2 的链接利用率更高，并发更高，不用像 HTTP/1.1 时有些请求在白白等待阻塞其余请求。并且能够看出左边HTTP/1.1须要6个SSL 链接，右边HTTP/2只须要1个SSL链接，减小昂贵的SSL请求，对服务器和客户端都有好处。从测试结果来看，HTTP/2的整体加载时间更快，效果更好。

第二，SSL session复用

另外一个性能优化的方案是SSL session复用，它是提高ssl握手性能的主要手段之一。

有两种session复用的方式：session id 和session ticket，了解 session id 复用的朋友可能会知道这种方案不支持分布式环境，session ticket支持分布式环境，可是session ticket的客户端支持率并不高，主流仍是session id的方式，而后咱们作了定制开发，支持了分布式缓存，上了这个优化以后，原本3%左右的session id占比提高到了20%多，提升了7倍左右，握手时间从将近80ms下降到了不到70ms，效果仍是挺明显的，这样能够提升服务器的性能，下降首包时间，提升用户体验。

第三，TLSv1.3即将发布

TLS1.3 TLS1.3相对于TLS1.2来讲，主要的区别就是两点：更快、更安全。在今年3月份，它被正式被IETF归入标准化，虽然目前只有Chrome和Firefox这两个浏览器支持，可是将来会有更多的浏览器支持。
了解TLS1.2的朋友可能知道，TLS1.2完整握手须要2个RTT，而TLS1.3在完整握手时仅须要1个RTT，甚至作到0个RTT，因此TLS1.3会比TLS1.2更快。
TLS1.3只支持彻底前向安全性的密钥交换算法，简单地说就是不支持像RSA这种不太安全的密钥交换算法，由于使用这种密钥交换算法，RSA私钥泄露的话能够用来解密以前保存的SSL流量，不太安全。另外，TLS1.3的握手消息在ServerHello以后都是加密的，连传输的证书消息都是加密的，因此TLS1.3比TLS1.2更安全。

早在2015年，天猫淘宝已经实现了全站HTTPS，其性能不降反升，效果比HTTP好不少，好比首页提高了约20%左右，聚划算提高了约30%，淘宝搜索也提高了约6%。因此能够看出，HTTPS其实并不慢，彻底没必要担心性能和用户体验的问题。

那么解决了以上担心，接下来就面临着接入这一环。那么问题又来了，使人头疼的证书怎样申请？配置是否复杂难懂？出了问题如何排查呢？

开启HTTPS三步走

咱们先来看看CDN HTTPS的业务流程

无论用户使用HTTP仍是HTTPS访问CDN，都要先作域名DNS解析，而后访问到 CDN 的边缘服务器，若是静态资源缓存命中则直接响应给客户端，若是没有缓存命中或者是动态资源请求的话就须要回源到源站服务器获取。

在用户这一侧，CDN提供了HTTP和HTTPS两种访问方式，开了HTTPS以后，HTTP也能访问，若是想要实现全站HTTPS的话，CDN提供了301跳转和HSTS的方式将HTTP访问都重定向到HTTPS，这样就能够实现HTTP自动跳转到HTTPS，对用户是无感知的。这样就能够避免用户这一侧常常发生的劫持、篡改、盗链等问题。好比一些视频网站，为了收费会在连接后面加鉴权参数，若是用HTTP，那用户和CDN之间的部分恶意网络运营商彻底能够抓包拿到鉴权成功的连接，从而实现盗链，这对视频网站的影响就比较大。

在CDN的内部，默认状况下也是所有走HTTPS，对有特殊需求的域名也能够走协议跟随。

在源站服务器这一侧，用户能够根据本身的服务器支持状况配置HTTP、HTTPS或者协议跟随回源，推荐配置 HTTPS 回源，实现全链路 HTTPS，更安全。

第一步 一键申请 免费证书

下图是CDN控制台 HTTPS配置界面，能够看出HTTPS的配置很是简单，只提供了证书、HTTP/2设置和强制跳转这几个配置，点击HTTPS证书的修改配置按钮以后就能够配置证书。

目前大多数CDN或者云计算厂商提供HTTPS服务都须要让客户上传证书或者购买证书，用户须要作一系列的工做，包括选择CA厂商、选定购买途径、选择证书类型、支付证书费用、配合CA作校验等等，辛苦申请下来的证书，格式多种多样，配置十分复杂，私钥也不知道怎么保管，证书到期前还须要去续签和从新配置一遍，管理起来很是地麻烦。

大部分用户对HTTPS的需求无非是安全和在浏览器上显示小绿锁就能够了，并非特别关心证书是个什么东西、怎么申请以及怎么配置。因此，阿里云为了让更多用户更容易切到HTTPS，推出了免费证书的功能，对于那些不须要关心证书细节的用户，就能够更便捷快速的使用HTTPS。

在HTTPS设置界面能够根据本身的需求配置证书，有三种证书类型能够选择，能够选择在阿里云CA证书服务上购买的云盾证书，也能够上传已有的证书，另一个就是免费证书，只需勾选赞成受权阿里云申请免费证书和确认就可使用HTTPS了（由于阿里云目前还不是CA机构，因此不能签发证书，须要用户受权），如此一来，CDN就帮助用户承担了本来最为繁琐的工做。

同时，有几点须要注意：

1. 在使用HTTPS免费证书以前，须要确保用户的域名CNAME切到了阿里云CDN，否则CDN无法配合CA机构去作校验，校验失败的话CA也不会给这个域名签发证书。
2. 须要注意域名的CAA记录，CAA记录的目的是防止其余CA误签证书，域名的DNS里面没有CAA记录还好，要有CAA记录的话得把digicert加进去才能申请证书成功，这是由于免费证书是由digicert这个CA机构来签发的。
3. 由于是免费证书，因此目前只支持1个域名，还不支持泛域名证书。证书的有效期是1年，到期以前咱们会自动续签和自动更新证书。
4. www 域名要使用免费证书功能的话须要注意顶级域名也要切到CDN，这是由于www 域名免费证书自动绑定顶级域名（好比：www.a.com 开通免费证书会绑定两个域名:www.a.com和a.com）。
5. 这样一来，用户就彻底无需关注证书的细节了。只需关注HTTPS功能是否可用，浏览器地址栏上是否是已经有了绿色的小锁，在SSL labs上测试的安全等级是否是A就能够了（固然在阿里云CDN上的域名 HTTPS 的安全等级都是A）。

第二步 动态配置 秒级生效

下图为CDN-HTTPS架构， 用户在控制台上选择证书，一键开启HTTPS。

这些证书/私钥以及其余HTTPS配置会同步到阿里云证书管理系统，并非同步到全部的CDN边缘节点服务器，当有HTTPS请求到边缘节点服务器时，再去证书管理系统获取证书，并缓存在本机，作一下证书的切换，从而实现配置的热加载，而后就能够完成SSL握手。

没有所有同步到边缘节点服务器的缘由，一是机器越多同步越须要时间生效时间越慢，二是没有必要，同步到那些没有访问的机器白白浪费机器内存。

第三步 监控告警 排查问题

当HTTPS开启后，咱们须要对业务进行监控。下图所展示的就是阿里云所进行实时统计的错误类型，以及根据错误类型进行的实时告警。若是没有这样的告警系统，业务每每会产生长时间中断。并且阿里云HTTPS的配置也是秒级配置、热加载和秒级生效，用户能够快速地响应问题，解决问题。

能够看到，在CDN控制台进行HTTPS的开启和后续使用都是很便捷和灵活的，欢迎你们使用阿里云CDN的HTTPS，迈入HTTPS时代。