上云实践之全站升级HTTPS详解

摘要：
我司在运营一款叫妥妥医手机app是一款掌上的健康专家，是方便医生与患者之间交流沟通所推出的交流平台。而且妥妥医手机app让医生拥有自己的新型私人诊室，在线上答疑，线下诊疗。在网站HTTPS化是大势所趋。站点升级到HTTPS有很多优点。最大的优点当然是为用户提供了安全保证。而且搜索引擎Google也把HTTPS作为了影响网站排名的因子之一。而百度搜索引擎认为权值相同的站点，采用HTTPS协议的页面更加安全，排名上会优先对待，且同一个域名的HTTP版和HTTPS版视为一个站点，并优先收录HTTPS页面。

一、理解HTTP和HTTPS
HTTP即Hyper Text Transfer Protocol，超文本传输协议，是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准，是用于从WWW服务器传输超文本到本地浏览器的传输协议，是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。所有的WWW文件都必须遵守这个标准。
HTTPS即Hyper Text Transfer Protocol over Secure Socket Layer，是以安全为目标的HTTP通信，即HTTP的安全版，在HTTP通信上加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。其中，SSL逐渐演变到TLS。
HTTPS和HTTP的主要的区别如下：
1. HTTPS协议需要CA证书
2. HTTP是明文的传输协议，而HTTPS则是加密的传输协议
3. HTTPS和HTTP协议分别使用了不同的连接方式，默认使用的端口也不同
4. HTTP连接简单、无状态；而HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议，更加安全。

二、上云之路–升级HTTPS的理由
站点升级到HTTPS有很多优点。最大的优点当然是为用户提供了安全保证。而且搜索引擎Google也把HTTPS作为了影响网站排名的因子之一。而百度搜索引擎认为权值相同的站点，采用HTTPS协议的页面更加安全，排名上会优先对待，且同一个域名的HTTP版和HTTPS版视为一个站点，并优先收录HTTPS页面。
使用HTTPS发送的数据通过传输层安全协议TLS加以保护，TLS提供了三个关键的保护层：
1. 加密
加密交换的数据以保护其免受窃听者的攻击。这意味着，当用户浏览网站时，没有人可以“听”他们的对话，跨多个页面跟踪他们的活动或窃取他们的信息。
2. 数据的完整性
在传输期间，窃听者无法有意或无意地检测到数据，无法修改或损坏数据。
3. 验证
证明了用户与目标网站的相互通信，可防止中间人攻击并建立用户的信任，这可以转化为其他业务发展的优势。

三、上云之路–阿里云云盾证书服务
阿里云云盾证书服务即AliCloud Certificates Service，在云上签发Symantec、CFCA、GeoTrust证书，实现网站HTTPS化，使网站可信，防劫持、防篡改、防监听。并对云上证书进行统一生命周期管理，简化证书部署，一键分发到云上产品。云盾证书服务是和有资质的CA中心或代理商共同在阿里云为云客户提供直接申请购买管理SSL证书的产品，用户可以通过这个平台，选择需要的CA中心和其证书产品，为用户提供全站Https安全解决方案。其特征主要如下：
* 易用：在统一平台上实现数字证书的管理功能，提供最优性价比。
* 安全：和知名CA中心合作，保证数字证书的强度和可靠性。
* 可扩展：同一平台管理多家数字证书，同时应用在阿里云服务的各个环节中，最小的代价实现全站HTTPS。

四、上云之路——HTTPS升级过程
1、获得一张CA证书
升级到 HTTPS 协议的第一步，就是要获得一张证书。可以从这里购买：
http://common-buy.aliyun.com/?spm=5176.doc28548.2.1.3UxHj2&commodityCode=cas#/buy
根据自己网站的需要，可以选择证书的类型、证书的品牌、保护类型、域名个数、购买时长等。拿到证书以后，可以用 SSL Certificate Check 检查一下，信息是否正确。如果预算紧张，使用阿里云免费的DV SSL证书也是不错的。
2、安装证书
根据应用服务器和OS环境，安装获得的CA证书。比如Linux系统可以把证书放在/etc/ssl目录，然后根据使用的Web服务器进行配置。
3、修改网页
网页加载的HTTP资源，要全部改成HTTPS链接。
4、重定向设定
修改反向代理服务器，使用301重定向，将HTTP协议的访问导向HTTPS协议。以反向代理服务器Nginx 为例：

server {
  listen 80;
  server_name domain.com www.domain.com;
  return 301 https://domain.com$request_uri;
}

5、网页内容的修改
对网页中涉及到引用、链接等相关的内容，也需要升级到HTTPS。其中可能会涉及到CDN的HTTPS升级、已存在的旧重定向的升级等，要确保网页没有包含不安全的内容。

五、上云之路——HTTPS升级后的注意事项
2017年的全站HTTPS升级主要采用了Transport Layer Security version 1.2（即TLS 1.2）协议和Hypertext Transfer Protocol version 1.1（HTTP/1.1）协议。
尽管HTTPS被称为安全协议，但如果认为网站升级为HTTPS协议后就可以保护自己的网站是错误的。事实上，HTTPS网站并不受保护，仍然容易受到以下类型的漏洞攻击：
* 降级攻击
* SSL / TLS漏洞
* Heatbleed、Poodle、Logjam等漏洞
* 来自网站、服务器或网络的攻击
* 软件本身的漏洞
* 暴力攻击
* DDOS攻击
故HTTPS网站仍然需要防火墙等一系列的安全保护措施。

六、上云后的效果
全球网站向HTTPS升级是大势所趋，我司认为越早实施对业务越有利。从目前来看，实施效果已初步有所体现，主要表现在用户黏性的增加，以及用户对我们的网站更加信任了。更多的效果或许会在以后陆续体现出来。