小程序必須https嗎,做https前這三點(diǎn)你要考慮（3）

影響 HTTPS 普及的主要原因可以概括為兩個(gè)字：「慢」和「貴」。

1、慢

在未經(jīng)任何優(yōu)化的情況下，HTTPS 會(huì)嚴(yán)重降低用戶的訪問(wèn)速度。主要因素包括:

網(wǎng)絡(luò)耗時(shí)。由于協(xié)議的規(guī)定，必須要進(jìn)行的網(wǎng)絡(luò)傳輸。比如 SSL 完全握手，302 跳轉(zhuǎn)等。最壞情況下可能要增加 7 個(gè) RTT。

計(jì)算耗時(shí)。無(wú)論是客戶端還是服務(wù)端，都需要進(jìn)行對(duì)稱加解密，協(xié)議解析，私鑰計(jì)算，證書校驗(yàn)等計(jì)算，增加大量的計(jì)算時(shí)間。

2、貴

HTTPS 的貴，主要體現(xiàn)在如下三方面：

1、服務(wù)器成本。HTTPS 的私鑰計(jì)算會(huì)導(dǎo)致服務(wù)端性能的急劇下降，甚至不到 HTTP 協(xié)議的十分之一，也就是說(shuō)，如果 HTTP 的性能是 10000cps，HTTPS 的性能可能只有幾百 cps，會(huì)增加數(shù)倍甚至數(shù)十倍的服務(wù)器成本。

2、證書成本。根據(jù)證書個(gè)數(shù)及證書類型，一年可能需要花費(fèi)幾百到幾百萬(wàn)不等的證書成本。

3、開(kāi)發(fā)和運(yùn)維成本。HTTPS 協(xié)議比較復(fù)雜，openssl 的開(kāi)源實(shí)現(xiàn)也經(jīng)常發(fā)生安全BUG， 包括協(xié)議的配置，證書的更新，過(guò)期監(jiān)控，客戶端的兼容等一系列問(wèn)題都需要具備專業(yè)背景的技術(shù)人員跟進(jìn)處理。

4、安全

安全涉及的領(lǐng)域和場(chǎng)景非常龐大，HTTPS 雖然能夠徹底解決鏈路劫持，但是對(duì)于如下兩類問(wèn)題卻無(wú)能為力:

1、CC 攻擊，特別是 HTTPS 計(jì)算型攻擊，HTTPS 的性能會(huì)急劇降低，引入更大的安全風(fēng)險(xiǎn)。

2、業(yè)務(wù)安全，包括 SQL 注入，XSS 跨站、網(wǎng)站掛馬等。

上述兩類都是經(jīng)常困擾業(yè)務(wù)的風(fēng)險(xiǎn)極大的安全問(wèn)題。

針對(duì)上述問(wèn)題，騰訊云也設(shè)計(jì)實(shí)現(xiàn)了一套針對(duì) HTTPS 的防 CC 和 WAF 的安全系統(tǒng)，能夠有效地防御這類安全風(fēng)險(xiǎn)。