為什么自己的訪問(wèn)行為和隱私數(shù)據(jù)突然會(huì)被偷走？為什么域名沒(méi)輸錯(cuò)，結(jié)果卻跑到了一個(gè)釣魚(yú)網(wǎng)站上？用戶(hù)數(shù)據(jù)泄露、流量劫持、頁(yè)面篡改等安全事件頻發(fā)。繼百度全站啟用HTTPS加密后...

創(chuàng)新互聯(lián)長(zhǎng)期為成百上千客戶(hù)提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為濱湖企業(yè)提供專(zhuān)業(yè)的網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)，濱湖網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

為什么自己的訪問(wèn)行為和隱私數(shù)據(jù)突然會(huì)被“偷走”？為什么域名沒(méi)輸錯(cuò)，結(jié)果卻跑到了一個(gè)釣魚(yú)網(wǎng)站上？用戶(hù)數(shù)據(jù)泄露、流量劫持、頁(yè)面篡改等安全事件頻發(fā)。
 
繼百度全站啟用HTTPS加密后，阿里巴巴旗下的淘寶網(wǎng)&天貓商城也全站啟用HTTPS。而Google在過(guò)去的幾年里，將Google搜索、Gmail、YouTube等產(chǎn)品從HTTP協(xié)議改為加密的HTTPS版協(xié)議，其在2015年12月宣布將調(diào)整Google搜索的索引系統(tǒng)，調(diào)整后的索引系統(tǒng)將HTTPS網(wǎng)頁(yè)為優(yōu)先索引對(duì)象。全站HTTPS為什么可以做到防劫持、防篡改的功效，有哪些優(yōu)勢(shì)？
 
HTTPS是什么，先簡(jiǎn)單做個(gè)普及，了解的請(qǐng)掠過(guò)~~
 
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議 它是一個(gè)安全通信通道，它基于HTTP開(kāi)發(fā)，用于在客戶(hù)計(jì)算機(jī)和服務(wù)器之間交換信息。它使用安全套接字層(SSL)進(jìn)行信息交換，簡(jiǎn)單來(lái)說(shuō)它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 協(xié)議。
 
HTTP 協(xié)議采用明文傳輸信息，存在信息竊聽(tīng)、信息篡改和信息劫持的風(fēng)險(xiǎn)，而協(xié)議 TLS/SSL 具有身份驗(yàn)證、信息加密和完整性校驗(yàn)的功能，可以避免此類(lèi)問(wèn)題。
 
TLS/SSL 全稱(chēng)安全傳輸層協(xié)議 （Transport LayerSecurity）, 是介于 TCP 和HTTP 之間的一層安全協(xié)議，不影響原有的 TCP 協(xié)議和 HTTP 協(xié)議，所以使用 HTTPS 基本上不需要對(duì) HTTP 頁(yè)面進(jìn)行太多的改造。
 
前文討論了 HTTPS 原理與優(yōu)勢(shì)，但通過(guò)增加新協(xié)議以實(shí)現(xiàn)更安全的通信必然需要付出代價(jià)，HTTPS 協(xié)議的性能損耗主要體現(xiàn)為消耗較多的CPU資源和增加延時(shí)。
 
HTTPS延時(shí)特點(diǎn)是服務(wù)節(jié)點(diǎn)越近延時(shí)越小，cdn 天然離用戶(hù)最近，因此選擇使用 CDN 作為 HTTPS 接入的入口，將能夠極大減少接入延時(shí)。不過(guò)，由于HTTPS協(xié)議需要復(fù)雜的加解密動(dòng)作，相對(duì)于HTTP協(xié)議需要消耗大量的計(jì)算資源，加密解密也會(huì)消耗更長(zhǎng)的傳輸時(shí)間，致使HTTPS網(wǎng)站相比普通的HTTP網(wǎng)站在加載、傳輸過(guò)程中面臨更大的挑戰(zhàn)。
 
HTTPS加速解決方案，基本上有以下幾種： 
1、HTTPS證書(shū)加速：源站提供證書(shū)，包括公鑰證書(shū)和私鑰，CDN負(fù)責(zé)交互和內(nèi)容緩存，CDN有緩存則直接響應(yīng)，以HTTP或HTTPS的形式回源。這嚴(yán)重破壞了PKI安全信任的基本原則，即私鑰必須是嚴(yán)格保密、不能與第三方共享的。盡管也有替代的方案不要求用戶(hù)共享私鑰，比如使用客戶(hù)證書(shū)（Custom Certificate）或者共享證書(shū)（Shared Certificate）方案，但是秘鑰管理復(fù)雜，客戶(hù)網(wǎng)站無(wú)法自主的撤銷(xiāo)自己對(duì)CDN廠商的授權(quán)，作為可信第三方的CA也沒(méi)有撤銷(xiāo)體現(xiàn)授權(quán)關(guān)系的共享證書(shū)。
 
2、無(wú)證書(shū)https加速：源站無(wú)需提供證書(shū)，客戶(hù)端無(wú)感知，CDN存放公鑰，源站存放私鑰。這一方案不要求源網(wǎng)站與CDN共享私鑰，而是在CDN與前端瀏覽器進(jìn)行TLS的認(rèn)證和秘鑰協(xié)商過(guò)程中，通過(guò)安全的信道把協(xié)商過(guò)程中的信息以HTTP或HTTPS的形式轉(zhuǎn)發(fā)給源網(wǎng)站，由源網(wǎng)站提取會(huì)話秘鑰或完成簽名以后再提交給CDN節(jié)點(diǎn)。
 
3、HTTPS數(shù)據(jù)通道加速：用戶(hù)請(qǐng)求CDN，CDN以獨(dú)有數(shù)據(jù)加速網(wǎng)絡(luò)，以最優(yōu)路徑將數(shù)據(jù)送達(dá)最靠近源站的接入點(diǎn)，靠近源站節(jié)點(diǎn)將請(qǐng)求送到源站。此方案中，CDN不做緩存，僅以自有的加速網(wǎng)絡(luò)，將用戶(hù)的請(qǐng)求快速送到源站，降低公網(wǎng)延遲。
 
互聯(lián)網(wǎng)源站依據(jù)自身需求可靈活選擇以上解決方案，方案1適用僅對(duì)防劫持、防篡改有需求，而愿意提供證書(shū)給CDN的源站加速。方案2適用于對(duì)安全要求更高，不愿將私鑰共享給CDN的源站加速。方案3則適用于純動(dòng)態(tài)數(shù)據(jù)，CDN無(wú)法緩存的源站加速。目前，市面上的CDN廠商基本上能支持方案1，而方案2、方案3只有少數(shù)支持，且在方案2的支持上，主流CDN廠商是HTTP回源，未能實(shí)現(xiàn)全程HTTPS加速。
 
隨著源網(wǎng)站對(duì)用戶(hù)訪問(wèn)信息在傳送過(guò)程中有更高安全、更高防篡改、更高防劫持的要求，包括靜態(tài)、動(dòng)態(tài)內(nèi)容的全站將支持HTTPS，對(duì)CDN的要求將更高。
 
在全球各大科技公司的推動(dòng)下，HTTPS加密通訊已逐漸成為了主流的網(wǎng)絡(luò)通訊協(xié)議。2016年，HTTPS全站加速將大行其道！