微信小程序一定要用https的理由,小程序使用HTTPS鏈接分析

小程序?yàn)槭裁茨敲椿?這要從2012年微信公眾號(hào)說(shuō)起，當(dāng)初公眾號(hào)一上線，先吃螃蟹的人已經(jīng)可以和王思聰肩并肩了，但是猶豫的人還在路上苦苦拼搏。所以這次他們不想再錯(cuò)過(guò)這個(gè)翻身的好機(jī)會(huì)，紛紛準(zhǔn)備開(kāi)發(fā)小程序，但是和公眾號(hào)不同的是作為一種應(yīng)用的小程序，安全是基礎(chǔ)，是發(fā)展第一要素，所以騰訊官方強(qiáng)制要求小程序使用HTTPS鏈接。

一、HTTPS

HTTPS是HTTP的安全版，在HTTP的基礎(chǔ)上加入SSL證書(shū) (服務(wù)器證書(shū))后形成的安全協(xié)議，不但可以建立信息加密通過(guò)保障數(shù)據(jù)傳輸?shù)陌踩?，還能認(rèn)證服務(wù)器的真實(shí)性，防止“釣魚(yú)”網(wǎng)站。每個(gè)微信小程序都需要先設(shè)置一個(gè)通訊合法域名，并通過(guò)HTTPS請(qǐng)求進(jìn)行網(wǎng)絡(luò)通信，不滿(mǎn)足的域名和協(xié)議無(wú)法發(fā)出請(qǐng)求，小程序也會(huì)無(wú)法使用。

二、 HTTPS保障小程序使用安全

在互聯(lián)網(wǎng)時(shí)代，我們都會(huì)下載程序使用，但是有些程序被植入了木馬或后門(mén)，一旦安裝就會(huì)中毒。小程序是基于H5網(wǎng)頁(yè)技術(shù)開(kāi)發(fā)的，在線就可以使用，無(wú)需安裝，但是存在其他安全威脅。網(wǎng)絡(luò)的通信一直都是通過(guò)HTTP協(xié)議傳輸，是沒(méi)有經(jīng)過(guò)加密的，存在極高的風(fēng)險(xiǎn)，也就說(shuō)，未經(jīng)過(guò)加密的信息，通過(guò)HTTP傳輸過(guò)程中，容易被第三方截取而泄露了個(gè)人重要信息。更重要的一點(diǎn)是，HTTP協(xié)議無(wú)法驗(yàn)證程序服務(wù)器的真實(shí)性，即使在微信群中傳播仿冒“釣魚(yú)”小程序也不會(huì)知道。

三、 選擇合適的SSL證書(shū)

HTTPS =HTTP+ SSL證書(shū)，那要怎樣選一張合適的SSL證書(shū)呢?

(一)證書(shū)類(lèi)型

目前的SSL證書(shū)類(lèi)型分為DV域名型、OV組織型、EV增強(qiáng)型三種：

1. DV證書(shū)沒(méi)有身份認(rèn)證的功能，所以不作推薦;

2. EV證書(shū)的安全級(jí)別最高，可顯示綠色地址欄和認(rèn)證名稱(chēng)，但價(jià)格相對(duì)較高;(小程序并不顯示地址欄，所以EV證書(shū)的優(yōu)勢(shì)不能充分體現(xiàn))

3. OV證書(shū)功能完善、成本較低，是目前比較適合開(kāi)發(fā)者的一種SSL證書(shū)。(如果你有多個(gè)甚至N多個(gè)小程序，一張張的購(gòu)買(mǎi)證書(shū)費(fèi)時(shí)費(fèi)力且成本太高，選擇多域名OV證書(shū)，用一張證書(shū)就可以保護(hù)多個(gè)小程序通訊域名。)

(二)證書(shū)支持度

證書(shū)要支持所有的瀏覽器和操作系統(tǒng)，特別是目前手機(jī)市場(chǎng)都在用的兩個(gè)系統(tǒng)，安卓和IOS。

(三)證書(shū)簽發(fā)機(jī)構(gòu)

SSL證書(shū)是由第三方數(shù)字證書(shū)管理機(jī)構(gòu)(簡(jiǎn)稱(chēng)CA)簽發(fā)的，所以選擇的時(shí)候需要注意：

1、先通過(guò)媒體等渠道了解CA的風(fēng)險(xiǎn)控制能力。如果CA的風(fēng)控水平不高，有可能會(huì)出現(xiàn)錯(cuò)發(fā)證書(shū)并且被瀏覽器、操作系統(tǒng)廠商懲罰問(wèn)題;

2、申請(qǐng)SSL證書(shū)，開(kāi)發(fā)者需提交身份證明資料以供CA審核;

3、SSL證書(shū)是按數(shù)量和年限收費(fèi)。(可以多關(guān)注各CA營(yíng)銷(xiāo)活動(dòng)，以低成本獲得證書(shū))。

　　更多關(guān)于微信小程序開(kāi)發(fā)內(nèi)容，可以多關(guān)注hi小程序。