小程序必須https嗎,做https前這三點你要考慮（3）

影響 HTTPS 普及的主要原因可以概括為兩個字：「慢」和「貴」。

1、慢

在未經(jīng)任何優(yōu)化的情況下，HTTPS 會嚴(yán)重降低用戶的訪問速度。主要因素包括:

網(wǎng)絡(luò)耗時。由于協(xié)議的規(guī)定，必須要進(jìn)行的網(wǎng)絡(luò)傳輸。比如 SSL 完全握手，302 跳轉(zhuǎn)等。最壞情況下可能要增加 7 個 RTT。

計算耗時。無論是客戶端還是服務(wù)端，都需要進(jìn)行對稱加解密，協(xié)議解析，私鑰計算，證書校驗等計算，增加大量的計算時間。

2、貴

HTTPS 的貴，主要體現(xiàn)在如下三方面：

1、服務(wù)器成本。HTTPS 的私鑰計算會導(dǎo)致服務(wù)端性能的急劇下降，甚至不到 HTTP 協(xié)議的十分之一，也就是說，如果 HTTP 的性能是 10000cps，HTTPS 的性能可能只有幾百 cps，會增加數(shù)倍甚至數(shù)十倍的服務(wù)器成本。

2、證書成本。根據(jù)證書個數(shù)及證書類型，一年可能需要花費幾百到幾百萬不等的證書成本。

3、開發(fā)和運維成本。HTTPS 協(xié)議比較復(fù)雜，openssl 的開源實現(xiàn)也經(jīng)常發(fā)生安全BUG， 包括協(xié)議的配置，證書的更新，過期監(jiān)控，客戶端的兼容等一系列問題都需要具備專業(yè)背景的技術(shù)人員跟進(jìn)處理。

4、安全

安全涉及的領(lǐng)域和場景非常龐大，HTTPS 雖然能夠徹底解決鏈路劫持，但是對于如下兩類問題卻無能為力:

1、CC 攻擊，特別是 HTTPS 計算型攻擊，HTTPS 的性能會急劇降低，引入更大的安全風(fēng)險。

2、業(yè)務(wù)安全，包括 SQL 注入，XSS 跨站、網(wǎng)站掛馬等。

上述兩類都是經(jīng)常困擾業(yè)務(wù)的風(fēng)險極大的安全問題。

針對上述問題，騰訊云也設(shè)計實現(xiàn)了一套針對 HTTPS 的防 CC 和 WAF 的安全系統(tǒng)，能夠有效地防御這類安全風(fēng)險。