本文介绍了HTTPS加速的原理、意义和应用场景。此外还主要介绍了几种证书的选择。

什么是HTTPS

HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,用于安全的HTTP数据传输。HTTPS提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

据2017年EFF(Electronic Frontier Foundation)发布的报告,目前全球已有超过一半的网页端流量采用了加密的HTTPS进行传输。

使用HTTPS的意义

  • HTTP明文传输,存在各类安全风险:
    • 窃听风险:第三方可以获知通信内容。
    • 篡改风险:第三方可以修改通信内容。
    • 冒充风险:第三方可以冒充他人身份参与通信。
    • 劫持风险:包括流量劫持、链路劫持、DNS劫持等。
  • HTTPS是主流趋势:未来主流浏览器会将HTTP协议标识为不安全,谷歌浏览器Chrome 70以上版本以及Firefox已经在2018年将HTTP网站标识为不安全,若坚持使用HTTP协议,除了安全会埋下隐患外,终端客户在访问自身网站的时出现的不安全标识,也将极大的影响访问者的访问行为。
  • 百度与Google均对HTTPS网站进行搜索加权,主流浏览器均支持HTTP/2,而支持HTTP/2必须支持HTTPS。可以看出来,无论从安全,还是市场还是用户体验来看,普及HTTPS未来的一个方向,所以也强烈建议CDN用户,将访问协议升级到HTTPS。

如何选择证书

从证书的认证级别来看,目前主要区分为DV、OV、EV三种类型:
  • DV是Domain Validation,仅认证域名所有权,通常是验证域名下某个指定文件的内容,或者验证与域名相关的某条TXT记录,显示明显的安全锁。

  • OV是Organization Validation,指需要验证企业组织真实性的标准型SSL证书,比DV SSL证书更加安全可信,安全保险也会更高。同时审核也会更加严格,审核周期也更长。一般多用于电商,教育,游戏等领域。

  • EV是 Extended Validation,CA/browser forum指定的全球统一标准,通过证书object identifier(OID)来识别,显示完整企业名称,是目前全球最高等级的SSL证书多用于金融支付,网上银行等领域。

应用场景

主要将应用场景分为以下五类:
  • 企业应用:若网站内容包含crm,erp等信息,这些信息属于企业级的机密信息,若在访问过程中被劫持或拦截窃取,对企业是灾难级的影响。
  • 政务信息:政务网站的信息具备权威性,正确性等特征,需预防钓鱼欺诈网站和信息劫持,避免出现信息劫持或泄露引起社会公共或信任危机。
  • 支付体系:支付过程中,涉及用户敏感信息如姓名,电话等,防止信息劫持和伪装欺诈,需启用HTTPS加密传输,避免出现下单后下单客户会立即收到姓名、地址、下单内容,然后以卡单等理由要求客户按指示重新付款之类诈骗信息,造成客户和企业的双重损失。
  • API接口:保护敏感信息或重要操作指令的传输,避免核心信息在传输过程中被劫持。
  • 企业网站:激活绿色安全标识(DV/OV)或地址栏企业名称标识(EV),为潜在客户带来更可信、更放心的访问体验。