为什么要进行全站 HTTPS

[pengkobe]

HTTPS，简单来说就是使用 TLS/SSL 加密的 HTTP 协议。

TLS 的基本工作方式

客户端使用非对称加密与服务器进行通信，实现身份验证并协商对称加密使用的密钥，然后对称加密算法采用协商密钥对信息以及信息摘要进行加密通信，不同的节点之间采用的对称密钥不同，从而可以保证信息只能通信双方获取。

证书申领注意点

• 申请证书不需要提供私钥，确保私钥永远只能服务器掌握
• 证书的合法性仍然依赖于非对称加密算法，证书主要是增加了服务器信息以及签名
• 内置 CA 对应的证书称为根证书，颁发者和使用者相同，自己为自己签名，即自签名证书
• 证书=公钥+申请者与颁发者信息+签名

会话缓存

可以使用 session ID 记录 pre-master，从而缩短会话时间

劣势

• 增加延时
• 消耗较多的 CPU 资源

难点

• 使用 CDN 时需要将证书提供给服务商
• 外部代码不可控
• 证书与域名多对多配置
• 证书兼容性，包括客户端与服务端

为什么要进行全站 HTTPS

• 更安全，且能保证数据的完整性
• 当网站存在 HTTPS和HTTP 两种协议时，跳转需对服务器进行了大量的重定向，会减慢页面加载速度，全站 HTTPS会 让整个网站访问体验更好
• 对搜索引擎更友好

参考

• HTTPS简介: http://lusongsong.com/info/post/9485.html
• 难点：https://juejin.im/entry/58252932da2f60005d2b8ac8
• 淘宝 HTTPS 实践 PPT: http://velocity.oreilly.com.cn/2015/ppts/lizhenyu.pdf