小程序必須https嗎,做https前這三點你要考慮(3)
上一篇文章已經(jīng)說到了小程序https系列之《小程序做https為什么可以有效防止劫持的出現(xiàn)》,事實上 HTTPS 1995 年就誕生了,是一個非常古老、成熟的協(xié)議。同時又能很好地防止內(nèi)容劫持,保護(hù)用戶隱私。但是為什么一直到今天,還有大部分的網(wǎng)站不支持 HTTPS,只使用 HTTP 呢?
影響 HTTPS 普及的主要原因可以概括為兩個字:「慢」和「貴」。
1、慢
在未經(jīng)任何優(yōu)化的情況下,HTTPS 會嚴(yán)重降低用戶的訪問速度。主要因素包括:
網(wǎng)絡(luò)耗時。由于協(xié)議的規(guī)定,必須要進(jìn)行的網(wǎng)絡(luò)傳輸。比如 SSL 完全握手,302 跳轉(zhuǎn)等。最壞情況下可能要增加 7 個 RTT。
計算耗時。無論是客戶端還是服務(wù)端,都需要進(jìn)行對稱加解密,協(xié)議解析,私鑰計算,證書校驗等計算,增加大量的計算時間。
2、貴
HTTPS 的貴,主要體現(xiàn)在如下三方面:
1、服務(wù)器成本。HTTPS 的私鑰計算會導(dǎo)致服務(wù)端性能的急劇下降,甚至不到 HTTP 協(xié)議的十分之一,也就是說,如果 HTTP 的性能是 10000cps,HTTPS 的性能可能只有幾百 cps,會增加數(shù)倍甚至數(shù)十倍的服務(wù)器成本。
2、證書成本。根據(jù)證書個數(shù)及證書類型,一年可能需要花費幾百到幾百萬不等的證書成本。
3、開發(fā)和運維成本。HTTPS 協(xié)議比較復(fù)雜,openssl 的開源實現(xiàn)也經(jīng)常發(fā)生安全BUG, 包括協(xié)議的配置,證書的更新,過期監(jiān)控,客戶端的兼容等一系列問題都需要具備專業(yè)背景的技術(shù)人員跟進(jìn)處理。
4、安全
安全涉及的領(lǐng)域和場景非常龐大,HTTPS 雖然能夠徹底解決鏈路劫持,但是對于如下兩類問題卻無能為力:
1、CC 攻擊,特別是 HTTPS 計算型攻擊,HTTPS 的性能會急劇降低,引入更大的安全風(fēng)險。
2、業(yè)務(wù)安全,包括 SQL 注入,XSS 跨站、網(wǎng)站掛馬等。
上述兩類都是經(jīng)常困擾業(yè)務(wù)的風(fēng)險極大的安全問題。
針對上述問題,騰訊云也設(shè)計實現(xiàn)了一套針對 HTTPS 的防 CC 和 WAF 的安全系統(tǒng),能夠有效地防御這類安全風(fēng)險。
第二部分:如何開通一個小商店
- 第 1 頁【小程序開發(fā)】微信小程序HTTPS 這是微信小程序開發(fā)者必須注意(1)
- 第 2 頁【小程序https重要性】 小程序做https為什么可以有效防止劫持的出現(xiàn)(2)
- 第 3 頁【小程序https必要性】 小程序必須https嗎,做https前這三點你要考慮(3)
- 第 4 頁【小程序https接入】 小程序零門檻https證書接入詳細(xì)步驟4(騰訊云版)
- 第 5 頁【小程序https問題】 微信小程序HTTPS證書報錯常見問題及解決方案(5)
- 第 6 頁【小程序https安裝】 小程序https證書安裝以及后臺https域名綁定6(免費版)
- 第 7 頁【小程序post請求】 微信小程序 POST請求代碼示例講解(7)