小程序开发者需要关注HTTPS协议深度解析

农历新年将至，微信小程序也如期发布，开发者在接入微信小程序过程中，会遇到以下问题：

小程序要求必须通过 HTTPS 完成与服务端通信，若开发者选择自行搭建 HTTPS 服务，那需要自行 SSL 证书申请、部署，完成 https 服务搭建，效率低流程冗长;且 HTTPS 的 SSL 加解析，对服务器的 CPU 有极大的开销。

不仅仅是小程序，苹果 iOS 平台，Google Android 在 2017 也逐步强制要求开发者使用 HTTPS 接入。HTTPS 似乎是一个绕不开的门槛，让不少开发者头痛不已。

针对以上问题，腾讯云的负载均衡服务(cloud load balance)，希望通过对 HTTPS 的性能优化，提供一键式的 SSL 证书申请服务，降低 HTTPS 的应用门槛和使用成本，让开发者能快速接入微信小程序等服务。首先，先让我们看看 HTTP 与 HTTPS 的对比，逐一解开您的谜团。

二、为什么要接入 HTTPS—HTTP 的安全风险

HTTP 协议是一个非常简单和高效的协议，互联网大部分的主流应用默认都是使用的HTTP。由于性能和上个世纪 90 年代使用环境的限制，HTTP 协议本身并不是一个为了安全设计的协议，既没有身份认证，也没有一致性检验，最头疼的是，HTTP 所有的内容都是明文传输的。

另外一方面，互联网的发展也是日新月异，各种 HTTP 应用不断地渗透到人们生活的方方面面。不管是社交、购物、金融、游戏、还是搜索，这些 HTTP 服务都能带给人们极大的便捷，提升生活质量和效率。

显然，HTTP 和人们生活及经济利益密切相关，遗憾的是，它不安全。也就意味着这里一 定潜藏着巨大的安全隐患。这些隐患又集中表现在如下两方面：

1、隐私泄露

由于 HTTP 本身是明文传输，用户和服务端之间的传输内容都能被中间者查看。也就是说 你在网上搜索、购物、访问的网点、点击的页面等信息，都可以被「中间人」获取。由于国人大多不太重视隐私的保护，这里的风险比较隐性，伤害后果也不太好定量评估。已知的一些比较严重的隐私泄露事件包括：

QQ 登陆态被不法分子窃取，然后在异地登陆，进行广告和欺诈行为。

用户手机号和身份信息泄露。

用户网上行为泄露。比如搜索了一所医院，很快就会有人打电话进行推广(非效果广告)。

2、页面劫持

隐私泄露的风险比较隐蔽，用户基本感知不到。但另外一类劫持的影响就非常明显非常直接了——页面劫持，也就是直接篡改用户的浏览页面。有很多页面劫持很简单粗暴，直接插入第三方广告或者运营商的流量提示信息。

以上的这些收益，可以帮助开发者降低 HTTPS 的试用门槛。

更多小程序开发者需要关注HTTPS 协议深度解析相关文章请关注PHP中文网！