小程序必须https吗,做https前这三点你要考虑(3)
上一篇文章已经说到了小程序https系列之《小程序做https为什么可以有效防止劫持的出现》,事实上 HTTPS 1995 年就诞生了,是一个非常古老、成熟的协议。同时又能很好地防止内容劫持,保护用户隐私。但是为什么一直到今天,还有大部分的网站不支持 HTTPS,只使用 HTTP 呢?
影响 HTTPS 普及的主要原因可以概括为两个字:「慢」和「贵」。
1、慢
在未经任何优化的情况下,HTTPS 会严重降低用户的访问速度。主要因素包括:
网络耗时。由于协议的规定,必须要进行的网络传输。比如 SSL 完全握手,302 跳转等。最坏情况下可能要增加 7 个 RTT。
计算耗时。无论是客户端还是服务端,都需要进行对称加解密,协议解析,私钥计算,证书校验等计算,增加大量的计算时间。
2、贵
HTTPS 的贵,主要体现在如下三方面:
1、服务器成本。HTTPS 的私钥计算会导致服务端性能的急剧下降,甚至不到 HTTP 协议的十分之一,也就是说,如果 HTTP 的性能是 10000cps,HTTPS 的性能可能只有几百 cps,会增加数倍甚至数十倍的服务器成本。
2、证书成本。根据证书个数及证书类型,一年可能需要花费几百到几百万不等的证书成本。
3、开发和运维成本。HTTPS 协议比较复杂,openssl 的开源实现也经常发生安全BUG, 包括协议的配置,证书的更新,过期监控,客户端的兼容等一系列问题都需要具备专业背景的技术人员跟进处理。
4、安全
安全涉及的领域和场景非常庞大,HTTPS 虽然能够彻底解决链路劫持,但是对于如下两类问题却无能为力:
1、CC 攻击,特别是 HTTPS 计算型攻击,HTTPS 的性能会急剧降低,引入更大的安全风险。
2、业务安全,包括 SQL 注入,XSS 跨站、网站挂马等。
上述两类都是经常困扰业务的风险极大的安全问题。
针对上述问题,腾讯云也设计实现了一套针对 HTTPS 的防 CC 和 WAF 的安全系统,能够有效地防御这类安全风险。
第二部分:如何开通一个小商店
- 第 1 页【小程序开发】微信小程序HTTPS 这是微信小程序开发者必须注意(1)
- 第 2 页【小程序https重要性】 小程序做https为什么可以有效防止劫持的出现(2)
- 第 3 页【小程序https必要性】 小程序必须https吗,做https前这三点你要考虑(3)
- 第 4 页【小程序https接入】 小程序零门槛https证书接入详细步骤4(腾讯云版)
- 第 5 页【小程序https问题】 微信小程序HTTPS证书报错常见问题及解决方案(5)
- 第 6 页【小程序https安装】 小程序https证书安装以及后台https域名绑定6(免费版)
- 第 7 页【小程序post请求】 微信小程序 POST请求代码示例讲解(7)