流量劫持别抵制了，全站HTTPS是王道！

为什么自己的访问行为和隐私数据突然会被“偷走”？为什么域名没输错，结果却跑到了一个钓鱼网站上？用户数据泄露、流量劫持、页面篡改等安全事件频发。

继百度全站启用HTTPS加密后，阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里，将Google搜索、Gmail、YouTube等产品从HTTP协议改为加密的HTTPS版协议，其在2015年12月宣布将调整Google搜索的索引系统，调整后的索引系统将HTTPS网页为优先索引对象。全站HTTPS为什么可以做到防劫持、防篡改的功效，有哪些优势？

HTTPS是什么，先简单做个普及，了解的请掠过~~

HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。

HTTP 协议采用明文传输信息，存在信息窃听、信息篡改和信息劫持的风险，而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能，可以避免此类问题。

TLS/SSL 全称安全传输层协议 （Transport Layer Security）, 是介于 TCP 和 HTTP 之间的一层安全协议，不影响原有的 TCP 协议和 HTTP 协议，所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。

前文讨论了 HTTPS 原理与优势，但通过增加新协议以实现更安全的通信必然需要付出代价，HTTPS 协议的性能损耗主要体现为消耗较多的CPU资源和增加延时。

HTTPS延时特点是服务节点越近延时越小，CDN 天然离用户最近，因此选择使用 CDN 作为 HTTPS 接入的入口，将能够极大减少接入延时。不过，由于HTTPS协议需要复杂的加解密动作，相对于HTTP协议需要消耗大量的计算资源，加密解密也会消耗更长的传输时间，致使HTTPS网站相比普通的HTTP网站在加载、传输过程中面临更大的挑战。

HTTPS加速解决方案，基本上有以下几种：

1、HTTPS证书加速：源站提供证书，包括公钥证书和私钥，CDN负责交互和内容缓存，CDN有缓存则直接响应，以HTTP或HTTPS的形式回源。这严重破坏了PKI安全信任的基本原则，即私钥必须是严格保密、不能与第三方共享的。尽管也有替代的方案不要求用户共享私钥，比如使用客户证书（Custom Certificate）或者共享证书（Shared Certificate）方案，但是秘钥管理复杂，客户网站无法自主的撤销自己对CDN厂商的授权，作为可信第三方的CA也没有撤销体现授权关系的共享证书。

2、无证书https加速：源站无需提供证书，客户端无感知，CDN存放公钥，源站存放私钥。这一方案不要求源网站与CDN共享私钥，而是在CDN与前端浏览器进行TLS的认证和秘钥协商过程中，通过安全的信道把协商过程中的信息以HTTP或HTTPS的形式转发给源网站，由源网站提取会话秘钥或完成签名以后再提交给CDN节点。

3、HTTPS数据通道加速：用户请求CDN，CDN以独有数据加速网络，以最优路径将数据送达最靠近源站的接入点，靠近源站节点将请求送到源站。此方案中，CDN不做缓存，仅以自有的加速网络，将用户的请求快速送到源站，降低公网延迟。

互联网源站依据自身需求可灵活选择以上解决方案，方案1适用仅对防劫持、防篡改有需求，而愿意提供证书给CDN的源站加速。方案2适用于对安全要求更高，不愿将私钥共享给CDN的源站加速。方案3则适用于纯动态数据，CDN无法缓存的源站加速。目前，市面上的CDN厂商基本上能支持方案1，而方案2、方案3只有少数支持，且在方案2的支持上，主流CDN厂商是HTTP回源，未能实现全程HTTPS加速。

随着源网站对用户访问信息在传送过程中有更高安全、更高防篡改、更高防劫持的要求，包括静态、动态内容的全站将支持HTTPS，对CDN的要求将更高。

在全球各大科技公司的推动下，HTTPS加密通讯已逐渐成为了主流的网络通讯协议。2016年，HTTPS全站加速将大行其道！

本文来源于：流量劫持别抵制了，全站HTTPS是王道！-变化吧博客
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧博客观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。