兩周前，蘋果在發(fā)布會(huì)上宣布蘋果持續(xù)將 iOS 9 的文件發(fā)送給開(kāi)發(fā)者，確保 iOS 9 推出時(shí)相關(guān) App 都已準(zhǔn)備就緒。這些文件的資訊，包括一個(gè)叫做 App Transport Security (ATS) 的安全功能。 它要求所有進(jìn)入到 iOS 9 裝置的資訊，都必須經(jīng)過(guò) HTTPS 加密設(shè)定。這樣可以防止黑客窺探用戶進(jìn)行網(wǎng)路傳輸?shù)馁Y料。 此消息一出，引發(fā)了網(wǎng)友與業(yè)界的熱烈討論， Google 發(fā)文表示：“雖然 Google 認(rèn)同產(chǎn)業(yè)采用 HTTPS ，但對(duì)于經(jīng)過(guò)我們系統(tǒng)的第三方廣告網(wǎng)絡(luò)和創(chuàng)新程式碼而言，卻不見(jiàn)得完全認(rèn)同此想法?！睙o(wú)論如何，蘋果此舉多少都算是為移動(dòng)端數(shù)據(jù)安全設(shè)立了一個(gè)更高的新“門檻”。 因此，除了廣告商，一大批依舊采用 HTTP 的移動(dòng)互聯(lián)網(wǎng)企業(yè)都需要加快步伐，在近期作出是否要切換成 HTTPS 的抉擇。那對(duì)于企業(yè)來(lái)說(shuō)，選擇 HTTPS 在當(dāng)下來(lái)說(shuō)是否值得?它的利弊何在?下面我們就將從不同角度入手，為大家進(jìn)行分析。 升級(jí) HTTPS，價(jià)值何在? HTTPS 實(shí)質(zhì)上是一種面向安全信息通信的協(xié)議。從最終的數(shù)據(jù)解析的角度上看，HTTPS 與 HTTP 沒(méi)有本質(zhì)上的區(qū)別。對(duì)于接收端而言，SSL/TSL 將接收的數(shù)據(jù)包解密，將數(shù)據(jù)傳給 HTTP 協(xié)議層，就形成了 HTTP 數(shù)據(jù)。而 HTTPS 則是將 HTTP 數(shù)據(jù)包通過(guò) SSL/TSL 層加密， 從而保證傳輸數(shù)據(jù)的安全性。 SSL/TSL 是一個(gè)分層協(xié)議，共有兩層組成，其中 SSL/TSL 握手協(xié)議允許服務(wù)方與客戶方互相認(rèn)證，并在應(yīng)用層協(xié)議傳送數(shù)據(jù)之前協(xié)商出一個(gè)加密算法和會(huì)話密鑰。SSL/TSL的握手協(xié)議主要交換數(shù)字證書、隨機(jī)數(shù)、機(jī)密通信協(xié)議這三個(gè)信息，以保證訪問(wèn)的安全。 借此，HTTPS 可完成以下目標(biāo)，這也是它基于安全性的主要價(jià)值： 數(shù)據(jù)保密性。保證內(nèi)容在傳輸過(guò)程中不會(huì)被第三方查看到，通過(guò)非對(duì)稱加密及密鑰交換來(lái)實(shí)現(xiàn)。 數(shù)據(jù)完整性。可及時(shí)發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容，以確保數(shù)據(jù)的完整性得到及時(shí)維護(hù)。 身份校驗(yàn)。保證數(shù)據(jù)到達(dá)用戶期望的目的地，即PKI和數(shù)字證書。 這樣就可以明白為什么 Google 廣告沒(méi)法投放了：當(dāng)用戶使用 Safari 瀏覽網(wǎng)頁(yè)，若廣告內(nèi)容不是透過(guò) HTTPS 連線(對(duì)絕大多數(shù)廣告來(lái)說(shuō)并不需要進(jìn)行加密)，在 iOS 9 將無(wú)法順利執(zhí)行，也就遭到了屏蔽。 難掩之瑕：HTTPS 兩大弊端 對(duì)于企業(yè)來(lái)說(shuō)，切換成 HTTPS 的成本并不高，還可以大幅提升安全性?？蛇€是有部分互聯(lián)網(wǎng)企業(yè)不愿意使用它，為什么?這是因?yàn)?HTTPS 也有一些不容忽視的弊端存在。 首先，HTTPS 會(huì)拖慢訪問(wèn)速度。由上文可見(jiàn)，要做到從 HTTP 到 HTTPS 的轉(zhuǎn)變，需要多次計(jì)算和交互，SSL 完全握手導(dǎo)致的延時(shí)，證書的狀態(tài)檢查等。這些自然影響了 HTTPS 的訪問(wèn)速度。這是 HTTPS 不被很多公司選擇的主要原因。 其次，HTTPS 消耗 CPU 的計(jì)算能力。這主要發(fā)生在握手階段的大數(shù)運(yùn)算，其中密鑰交換時(shí)的私鑰解密階段的性能消耗可以高達(dá)整個(gè) SSL 握手性能消耗的 95% 。完全握手時(shí)， web server 的處理能力會(huì)降低至 HTTP 的 10% 甚至以下。 以上兩點(diǎn)是 HTTPS 的主要劣勢(shì)所在。因此即便它在安全性上具有得天獨(dú)厚的價(jià)值，很多互聯(lián)網(wǎng)企業(yè)基于用戶體驗(yàn)和產(chǎn)品性能的考慮，還是選擇不用 HTTPS。 選擇 HTTPS，值還是不值? 因此，說(shuō) HTTPS “瑕不掩瑜”顯然不太公允，因?yàn)槲覀兛梢钥吹?，它的這些弊端很容易“戳中”不少產(chǎn)品的性能側(cè)重點(diǎn)。但同時(shí)也要看到，針對(duì)它的這些劣勢(shì)，尤其是造成訪問(wèn)延時(shí)這方面，已經(jīng)存在很成熟的優(yōu)化方法。 百度從 2014 年開(kāi)始對(duì)外開(kāi)放了 HTTPS 的訪問(wèn)，之后進(jìn)行監(jiān)測(cè)分析，發(fā)現(xiàn)如果網(wǎng)站什么優(yōu)化都不做，HTTPS 明顯慢很多。而如果站點(diǎn)本身已經(jīng)做過(guò)常規(guī)優(yōu)化，但是不針對(duì) HTTPS 做優(yōu)化，百度實(shí)測(cè)的結(jié)果是 0.2 - 0.4 秒耗時(shí)的增加。 因此，企業(yè)可以針對(duì)網(wǎng)站做部分優(yōu)化，具體可分為以下幾個(gè)方面： 首先，我們可以在服務(wù)器端配置 HSTS ，減少 302 跳轉(zhuǎn);設(shè)置 ssl session 的共享內(nèi)存 cache ;配置相同的 session ticket key ，部署在多個(gè)服務(wù)器上，這樣多個(gè)不同的服務(wù)器也能產(chǎn)生相同的 session ticket;設(shè)置 ocsp stapling file，這樣 ocsp 的請(qǐng)求就不會(huì)發(fā)往 ca 提供的 ocsp 站點(diǎn)，而是發(fā)往網(wǎng)站的 webserver。 我們還可以優(yōu)先使用 ecdhe 密鑰交換算法，因?yàn)樗С?PFS( perfect forward secrecy )，能夠?qū)崿F(xiàn) false start;設(shè)置 tls record size ，最好是能動(dòng)態(tài)調(diào)整 record size ，即連接剛建立時(shí) record size 設(shè)置成 msg ，連接穩(wěn)定之后可以將 record size 動(dòng)態(tài)增加。 如果有條件的話，還可以啟用 tcp fast open?；蛘邌⒂?SPDY，這樣會(huì)明顯提升 HTTPS 速度，甚至比 HTTP 還要快。在無(wú)線 WIFI 環(huán)境下， SPDY 比 HTTP 要快 50ms 左右，3G 環(huán)境下比 HTTP 要快 250ms。 這些方法，可以從 HTTPS 運(yùn)作的各個(gè)方面入手來(lái)優(yōu)化訪問(wèn)速度，降低延遲。當(dāng)然，這些優(yōu)化做起來(lái)并不是一件簡(jiǎn)單的事情，但企業(yè)大可以不必親自操刀來(lái)搞 —— 你可以選擇接入提供充分優(yōu)化過(guò)的 HTTPS 服務(wù)的云平臺(tái)。以 UPYUN 為例，作為國(guó)內(nèi)首家提供全節(jié)點(diǎn) HTTPS 訪問(wèn)(自定義 SSL 服務(wù))的云 CDN 廠商，UPYUN 支持客戶自主上傳 SSL 證書，開(kāi)啟完全自定義的 HTTPS 訪問(wèn)。 借此，接入該服務(wù)的客戶將享受完全自主、全網(wǎng)的 HTTPS 加密功能，并與 UPYUN 云CDN 加速服務(wù)相結(jié)合，將流經(jīng)用戶和服務(wù)器之間數(shù)據(jù)進(jìn)行加密。同時(shí)，UPYUN 將支持默認(rèn)域名 HTTPS 服務(wù)和自主域名 HTTPS 服務(wù)兩種方式選擇使用，結(jié)合客戶實(shí)際需求，將“HTTPS + CDN” 整合到客戶產(chǎn)品體系中，實(shí)現(xiàn)終端訪問(wèn)“加密+加速”的服務(wù)。 關(guān)鍵的一點(diǎn)，UPYUN 自定義 SSL 支持 TLS 協(xié)議支持的版本就有蘋果指定的 TLS v 1.2，這讓使用 UPYUN HTTPS 服務(wù)的用戶可以與 iOS 9 系統(tǒng)下的蘋果設(shè)備無(wú)縫對(duì)接。 這樣一來(lái)，以 UPYUN 為代表的提供 HTTPS 服務(wù)的云平臺(tái)，讓企業(yè)得以一站式地享受 HTTPS 的安全性價(jià)值、規(guī)避它的性能劣勢(shì)。效果等同于用戶自主切換并構(gòu)建 HTTPS 優(yōu)化系統(tǒng)，還幫助用戶節(jié)省了這兩項(xiàng)工作的成本花費(fèi)。 無(wú)論選擇哪種途徑，針對(duì)性的優(yōu)化都會(huì)最大限度地消除 HTTPS 兩大弊端對(duì)用戶體驗(yàn)及產(chǎn)品性能的消極影響，從而凸顯它杰出的安全性價(jià)值。在這個(gè)前提下，結(jié)合數(shù)據(jù)安全對(duì)于企業(yè)發(fā)展的重要性，以及快速搶占 iOS 新市場(chǎng)的意義，我們可以得出這樣一個(gè)結(jié)論：選擇 HTTPS ，絕對(duì)是值得的。 蘋果又一次引領(lǐng)了行業(yè)的潮流，適時(shí)跟上不失為明智之舉。你的選擇，又是什么呢?