2016 年底了，距离上线 HTTPS 还遥遥无期？想走捷径看这里！

年底了，很多事情都要收尾了，听说互联网行业各大公司正在如火如荼地升级HTTPS，那现在HTTPS上线是个什么情况？

各大公司都在上线HTTPS

《Google透明度报告：各大热门网站的HTTPS使用情况》

另有9家热门网站使用HTTPS：

通过HTTPS加载的网页所占的百分比如下图：

其实早在2014年，谷歌就宣布将把HTTPS作为影响搜索排名的重要因素，并优先索引HTTPS网页。

上面的图表显示了在发送到Google服务器的请求中，使用加密连接的百分比，使用趋势始终保持上升势头。
除了Google，Apple也在不遗余力地推动HTTPS的上线工作，Firefox、Safari、Opera、MS Edge都要求使用HTTPS加密连接。
上述都是国外HTTPS推进情况。至于国内，百度作为首家推动HTTPS的互联网公司，曾公告表明，开放收录HTTPS站点，同一个域名的HTTP版和HTTPS版为一个站点，优先收录HTTPS版，并于 2015 年的 6 月上线HTTPS。
当然，除了百度，国内CDN服务商也不落后，百度刚上线HTTPS没多久，国内对这块并没有很大重视，甚至连阿里都还没上线HTTPS时，又拍云就提供了全站HTTPS加速服务，算是国内首推自定义HTTPS加速服务的CDN厂商了。
到目前为止，阿里、淘宝（包括天猫）、豆瓣、知乎、虎嗅、京东、亚马逊等也逐渐成功上线HTTPS。
放眼国内外，互联网巨头们纷纷步入HTTPS上线之旅，这和HTTP自身使用明文传输的密钥和口令很容易被拦截的局限性分不开。互联网+时代不断发展，联网设备日益激增，随之而来的互联网访问安全性愈加不容乐观。据市场研究机构预测，到 2020年全球联网设备数量将突破330亿台（3 倍于当前数量），保障安全高效的互联网数据传输的刚性需求迫在眉睫，部署HTTPS不得不成为各大互联网公司考虑的头等大事了。

上线HTTPS方案

大公司都已经着手上线HTTPS，还没部署HTTPS的公司们该心急如焚了吧，那应该如何部署HTTPS？
方案一：自己后台开发部署
HTTPS其实是由两部分组成：HTTP+SSL/TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密，所以传输的数据都是加密后的数据。HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。它提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯。

看上去就是加了一层处理加密信息的模块，但是自己部署HTTPS要做的事情就很多了，还容易忽略一些坑，需不时更新，这里就简单说一下部署HTTPS需要注意优化的点：
HTTPS访问速度优化：可以从Tcp fast open、HSTS、Session resume、Ocsp stapling、False start、使用 SPDY 或者 HTTP2入手。

HTTPS计算性能优化：可以优先使用ECC，使用最新版的openssl，另外要注意硬件加速方案，现在比较常用的TLS硬件加速方案主要有两种：SSL专用加速卡和GPU SSL加速，最后就是TLS远程代理计算了。

HTTPS安全配置：这里就要注意协议版本选择和加密套件选择，以及HTTPS防攻击，HTTPS防攻击包括防止协议降级攻击和防止重新协商攻击。

除了注意这些需要优化的点，想要签署第三方可信任的SSL证书却不容易，小拍之前有整理过一些证书资料哦~（[点我看推荐证书](http://mp.weixin.qq.com/s?__biz=MjM5ODc5ODgyMw==&mid=2653575265&idx=1&sn=8147688d0941079b7c671dd632ed2dc3&chksm=bd1bcce98a6c45ff6a03a6b56915a90cdcdb003dbac83a13f5e68046e6c84eb338c58e6885c9&scene=21# wechat_redirect)），当然最让人头疼的是有五大技术难点！
HSTS。即使将一个HTTP网站升级为HTTPS网站，但是在浏览器中键入以www为开头的网址时，网页并不会自动跳转为HTTPS网站，因为浏览器默认打开http网站，基于此，就需要对HTTP的访问在服务器端做301、302或307重定向，使之跳转到HTTPS网站，让人头疼的是使用301、302跳转时，只要修改location指令，网站就会被劫持。对此，国际互联网工程组织IETE推行了一种新的web安全协议：HSTS，即307跳转。

HTTP/2.0。HTTP/2.0即超文本传输协议2.0，是HTTP协议的升级版。由互联网工程任务组的Hypertext Transfer Protocol Bis工作小组进行开发，以SPDY为原型，经过两年多的讨论和完善最终确定。

OSCP stapling。在HTTPS通信过程时，浏览器会去验证服务器端下发的证书链是否已经被撤销。验证的方法有两种：CRL和OCSP。但是这两种方法都有不足，OCSP Stapling技术则是对OCSP不足的弥补。

session ID。Session ID是一种在网络通信中使用（通常在一块数据的HTTP）来识别一个会话，具有一系列相关的信息交流。SessionID属性用于唯一地标识在服务器上包含会话数据的浏览器。

SNI技术。SNI定义在RFC 4366，是一项用于改善SSL/TLS的技术，在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时就提交请求的Host信息，使得服务器能够切换到正确的域并返回相应的证书。

方案二：借助服务提供商
想要部署HTTPS，但是SSL证书找不好，还很费软妹币；技术难点也不过关，踩过的坑更是一个接一个……眼看不能排除万难高枕无忧，那么最好的办法就是交给别人来做了。
现在国内提供部署HTTPS的服务商还是有不少的，但是选哪一家服务商呢？小拍作为国内首推自定义HTTPS加速服务的CDN厂商，只想在这里自夸一番。
又拍云HTTPS加速服务使HTTPS和CDN有效结合，力求让HTTPS部署更简单、快捷，让客户享受更安全的加速服务。

迎接无限访问，又拍云助力全网加速；
抛开技术包袱，又拍云全新自主配置后台；
节约创业成本，又拍云全球CDN节点一起用；
升级HTTPS，又拍云一站式服务安全、加速两不误。

说了这么多，还不抓住年底的尾巴迅速升级HTTPS，如此才能保你2017网站访问安全无忧哦~

文／云叔

关键字：产品经理, SSL

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！