微信小程序一定要用https的理由,小程序使用HTTPS链接分析
一、HTTPS
HTTPS是HTTP的安全版,在HTTP的基础上加入SSL证书 (服务器证书)后形成的安全协议,不但可以建立信息加密通过保障数据传输的安全,还能认证服务器的真实性,防止“钓鱼”网站。每个微信小程序都需要先设置一个通讯合法域名绑定SSL证书,并通过HTTPS请求进行网络通信,不满足的域名和协议无法发出请求,小程序也会无法使用。
二、 HTTPS保障小程序使用安全
在互联网时代,我们都会下载程序使用,但是有些程序被植入了木马或后门,一旦安装就会中毒。小程序是基于H5网页技术开发的,在线就可以使用,无需安装,但是存在其他安全威胁。网络的通信一直都是通过HTTP协议传输,是没有经过加密的,存在极高的风险,也就说,未经过加密的信息,通过HTTP传输过程中,容易被第三方截取而泄露了个人重要信息。更重要的一点是,HTTP协议无法验证程序服务器的真实性,即使在微信群中传播仿冒“钓鱼”小程序也不会知道。
三、 选择合适的SSL证书
HTTPS =HTTP+ SSL证书,那要怎样选一张合适的SSL证书呢?
(一) 证书类型
目前的SSL证书类型分为DV域名型、OV组织型、EV增强型三种:
1. DV证书
可以对网站数据加密,满足企业绑定多域名和泛域名的需求。但无法证明企业身份,仅适合个人,中小企业网站,由于没有身份认证的功能,所以不作推荐
2.EV证书
这个被认为是现有最安全的证书之一。绿色地址栏显示公司名称+安全锁+https,适用于金融证券、银行、第三方支付、网上商城等,重点强调网站安全和品牌可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输,建议选择,也值得用户信赖,但价格相对较高(小程序并不显示地址栏,所以EV证书的优势不能充分体现);按域名类型来选择,商业证书可分为单域名SSL证书、多域名SSL证书、通配符域名SSL证书。
3. OV证书
可以对网站数据加密,满足企业绑定多域名和泛域名的需求。提供证明网站真实性的“三大件”:绿色安全锁、HTTPS传输加密、企业身份查询,适用于各类中小型企业网站。由于功能完善、成本较低,是目前比较适合开发者的一种SSL证书(如果你有多个甚至N多个小程序,一张张的购买证书费时费力且成本太高,选择多域名OV证书,用一张证书就可以保护多个小程序通讯域名。)
(二) 证书支持度
证书要支持所有的浏览器和操作系统,特别是目前手机市场都在用的两个系统,安卓和IOS。
(三) 证书签发机构
SSL证书是由第三方数字证书管理机构(简称CA)签发的,所以选择的时候需要注意:
1、先通过媒体等渠道了解CA的风险控制能力。如果CA的风控水平不高,有可能会出现错发证书并且被浏览器、操作系统厂商惩罚问题;
2、申请SSL证书,开发者需提交身份证明资料以供CA审核;
3、SSL证书是按数量和年限收费。(可以多关注各CA营销活动,以低成本获得证书)。
7183
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
