兩周前，Apple在新聞發(fā)布會上宣布蘋果繼續(xù)向開發(fā)人員發(fā)送iOS 9文件，確保iOS 9啟動時相關(guān)應(yīng)用程序已準(zhǔn)備就緒。有關(guān)這些文件的信息，包括稱為App Transport Security（ATS）的安全功能。它要求通過HTTPS加密進入iOS 9設(shè)備的所有信息。這可以防止黑客窺探用戶通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。

當(dāng)這個消息傳出后，它引起了網(wǎng)民與業(yè)界的熱烈討論。谷歌發(fā)出了一條消息：“盡管谷歌同意該行業(yè)使用HTTPS，但它并不一定會同意這個第三方廣告網(wǎng)絡(luò)以及通過我們系統(tǒng)創(chuàng)新的代碼。”無論如何，蘋果的舉動是一個新的門檻。移動數(shù)據(jù)安全?！?/p>

因此，除了廣告商之外，仍然使用HTTP的大量移動互聯(lián)網(wǎng)公司需要加快步伐并決定是否在不久的將來切換到HTTPS。那么對于企業(yè)來說，現(xiàn)在選擇HTTPS是值得的嗎？它的優(yōu)點和缺點是什么？讓我們從不同的角度出發(fā)，分析每個人。

　升級 HTTPS，價值何在?

HTTPS本質(zhì)上是用于安全消息傳遞的協(xié)議。從最終數(shù)據(jù)解析的角度來看，HTTPS和HTTP之間沒有本質(zhì)區(qū)別。對于接收端，SSL/TSL解密接收的數(shù)據(jù)包并將數(shù)據(jù)傳遞到HTTP協(xié)議層以形成HTTP數(shù)據(jù)。 HTTPS通過SSL/TSL層加密HTTP數(shù)據(jù)包，以確保傳輸數(shù)據(jù)的安全性。

SSL/TSL是一個由兩層組成的分層協(xié)議。 SSL/TSL握手協(xié)議允許服務(wù)方和客戶機相互認(rèn)證，并在應(yīng)用層協(xié)議傳輸數(shù)據(jù)之前協(xié)商加密算法和會話密鑰。 SSL/TSL握手協(xié)議主要交換三種信息：數(shù)字證書，隨機數(shù)和保密通信協(xié)議，以確保訪問的安全性。

通過這種方式，HTTPS可以實現(xiàn)以下目標(biāo)，這也是基于安全性的主要價值：

數(shù)據(jù)機密性。確保在傳輸過程中第三方不會查看內(nèi)容，并通過非對稱加密和密鑰交換實現(xiàn)。

數(shù)據(jù)的完整性。可以及時發(fā)現(xiàn)第三方篡改的傳輸內(nèi)容，以確保及時維護數(shù)據(jù)的完整性。

身份驗證。確保數(shù)據(jù)到達用戶期望的目標(biāo)，即PKI和數(shù)字證書。

通過這種方式，您可以了解無法投放Google廣告的原因：當(dāng)用戶使用Safari瀏覽網(wǎng)頁時，如果廣告內(nèi)容未通過HTTPS連接（大多數(shù)廣告都不需要加密），則贏了在iOS 9上運行順暢。它被阻止了。

　難掩之瑕：HTTPS 兩大弊端

對于企業(yè)來說，切換到HTTPS的成本并不高，而且可以大大提高安全性。仍有一些互聯(lián)網(wǎng)公司不愿意使用它。為什么？這是因為HTTPS也有一些不容忽視的缺點。

首先，HTTPS會降低訪問速度。從上面可以看出，要實現(xiàn)從HTTP到HTTPS的轉(zhuǎn)換，需要多次計算和交互，SSL完全握手，證書狀態(tài)檢查等引起的延遲。這些自然會影響HTTPS的訪問速度。這是許多公司沒有選擇HTTPS的主要原因。

其次，HTTPS消耗CPU的計算能力。這主要發(fā)生在握手階段的大量操作中，其中密鑰交換期間私鑰解密階段的性能可以消耗高達總SSL握手性能的95％。當(dāng)您完全握手時，Web服務(wù)器的處理能力將降低到HTTP的10％或更低。

以上兩點是HTTPS的主要缺點。因此，即使它在安全性方面具有獨特價值，許多互聯(lián)網(wǎng)公司也會根據(jù)用戶體驗和產(chǎn)品性能考慮選擇不使用HTTPS。

　選擇 HTTPS，值還是不值?

因此，顯然不公平地說HTTPS不公平，因為我們可以看到它的缺點很容易在許多產(chǎn)品的性能焦點中“捅”。但與此同時，我們還必須看到已經(jīng)有成熟的優(yōu)化方法來解決這些缺點，尤其是訪問延遲。

百度自2014年開通HTTPS訪問，然后進行監(jiān)控和分析。結(jié)果發(fā)現(xiàn)，如果網(wǎng)站沒有優(yōu)化，HTTPS會明顯變慢。如果網(wǎng)站本身已經(jīng)過常規(guī)優(yōu)化，但沒有針對HTTPS進行優(yōu)化，百度的測量結(jié)果耗時增加0.2 - 0.4秒。

因此，企業(yè)可以對網(wǎng)站進行部分優(yōu)化，這可以分為以下幾個方面：

首先，我們可以在服務(wù)器端配置HSTS，減少302跳;設(shè)置ssl會話的共享內(nèi)存緩存;配置相同的會話票證密鑰并將其部署在多個服務(wù)器上，以便多個不同的服務(wù)器也可以生成相同的會話票證。設(shè)置ocsp裝訂文件，以便ocsp請求不會發(fā)送到ca提供的ocsp站點，而是發(fā)送到網(wǎng)站的Web服務(wù)器。

我們也可以先使用ecdhe密鑰交換算法，因為它支持PFS（完全向前保密），可以實現(xiàn)錯誤啟動;設(shè)置tls記錄大小，最好動態(tài)調(diào)整記錄大小，即剛建立連接時記錄大小設(shè)置為msg。連接穩(wěn)定后，可以動態(tài)增加記錄大小。

如果您有條件，還可以啟用tcp fast open?；蛘邌⒂肧PDY，這將顯著加快HTTPS，甚至比HTTP更快。在無線WIFI環(huán)境中，SPDY比HTTP快約50ms，比3G快250ms。

這些方法可用于優(yōu)化訪問速度并減少HTTPS操作的所有方面的延遲。當(dāng)然，這些優(yōu)化并不是一件簡單的事情，但公司不必自己做。 ——您可以選擇訪問提供完全優(yōu)化的HTTPS服務(wù)的云平臺。以UPYUN為例，UPYUN作為中國第一家提供全節(jié)點HTTPS訪問（自定義SSL服務(wù)）的云CDN供應(yīng)商，支持客戶上傳SSL證書并啟用完全自定義的HTTPS訪問。

通過這種方式，訪問該服務(wù)的客戶將享受完全自主的，網(wǎng)絡(luò)范圍的HTTPS加密，并與UPYUN云CDN加速服務(wù)一起加密用戶和服務(wù)器之間流動的數(shù)據(jù)。同時，UPYUN將支持默認(rèn)域名HTTPS服務(wù)和自選域名HTTPS服務(wù)選擇使用，結(jié)合客戶的實際需求，將“HTTPS + CDN”集成到客戶產(chǎn)品系統(tǒng)中實現(xiàn)終端訪問“加密+加速”服務(wù)。

關(guān)鍵點在于UPYUN Custom SSL支持Apple指定的TLS v 1.2支持TLS協(xié)議的版本，允許使用UPYUN HTTPS服務(wù)的用戶與iOS 9下的Apple設(shè)備無縫連接。

通過這種方式，UPYUN所代表的提供HTTPS服務(wù)的云平臺使企業(yè)可以享受HTTPS的安全價值，避免其性能劣勢。該效果相當(dāng)于用戶自己的切換和構(gòu)建HTTPS優(yōu)化系統(tǒng)，還可以幫助用戶節(jié)省兩個作業(yè)的成本。

無論您選擇哪種方法，有針對性的優(yōu)化都將最大限度地減少HTTPS的兩大缺點對用戶體驗和產(chǎn)品性能的負(fù)面影響，突出其突出的安全價值。在此前提下，結(jié)合數(shù)據(jù)安全對企業(yè)開發(fā)的重要性以及新iOS市場的快速捕獲，我們可以得出結(jié)論，選擇HTTPS絕對是值得的。

Apple再次引領(lǐng)行業(yè)潮流，跟上它是明智的。你有什么選擇？

« 人際交往成為“人機”交流愛情和仇恨的朋友圈 | 我受不了了！《凱瑟琳Full Body》的官方地圖倒計時 »