月度归档： 2016年2月

苹果正式推送iOS9正式版，引起了多方关注。据相关报道了解，iOS9引入了新特性App Transport Security (ATS)。详情：App Transport Security (ATS)。新特性要求App内访问的网络必须使用HTTPS协议。但是目前还有一部分公司使用的都还是HTTP协议，用私有加密方式保证数据安全。此次iOS9为什么要把所有的http请求都改为https呢？

据了解，iOS9系统发送的网络请求将统一使用TLS 1.2 SSL。采用TLS 1.2 协议，目的是强制增强数据访问安全，而且系统 Foundation 框架下的相关网络请求，将不再默认使用Http等不安全的网络协议，而默认采用TLS 1.2。服务器因此需要更新，以解析相关数据。

打个比方：如果原来的 HTTP 是塑料水管，容易被戳破；那么如今新设计的 HTTPS 就像是在原有的塑料水管之外，再包一层金属水管。一来，原有的塑料水管照样运行；二来，用金属加固了之后，不容易被戳破。

什么是SSL/TLS/HTTPS？

TLS 是 SSL 新的别称及https协议，SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了，即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

企业如何更便捷、更迅速的从http变成https？

最佳解决方案：让公司寻找一家，国家授牌的数字证书颁发CA机构（如天威诚信）申请ssl证书，为APP部署https协议，使服务端升级使用TLS 1.2。这是唯一最快速、最便捷有效的解决方案。

苹果此次加大应用安全的管控，这个举措可以看出苹果对信息安全的重视，也暴露出大部分应用传输数据时都是未经过加密的，或使用私有方式加密，以至于苹果开始对开发者提出要求。私有加密虽然一定程度上是安全的，但是终究不是一个长久之计。全世界这么多安全专家在维护HTTPS安全，早日使用HTTPS确保信息安全才是王道！也省去了私有加密协议的安全隐患！

2015年，各大知名企业纷纷加入到HTTPS的行列，HTTPS加密备受关注。而就在今年3月，百度就已经发布公告，百度全站默认开启HTTPS。淘宝也默默做了全站HTTPS。

网站实现HTTPS，在国外已经非常普及，也是必然的趋势。Google、Facebook、Twitter等巨头公司早已经实现全站 HTTPS，而且为鼓励全球网站的HTTPS实现，Google甚至调整了搜索引擎算法，让采用HTTPS的网站在搜索中排名更靠前。但是在国内，HTTPS网站进展并是很快，大部分的电商网站也仅仅是对账户登录和交易做HTTPS；很多网站甚至连登录页面也没有实现HTTPS..

一．什么是HTTPS网站？

SSL（Security   Socket   Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

二．HTTP与HTTPS有什么区别？

1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。例如天威诚信的Symantec证书。

2、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

三．哪些网站最需要做https协议?
1、电商系统、邮箱等用户主导型网站；伴随互联网+的火热势头，不少传统行业开始涉足网络营销，大部分有实体产品的企业要打开网络销路选择电商网站为突破口，主要分为C2C、B2C、B2B三种，此类型网站都是需要用户参与其中，而且都有登录系统，同时记录大量用户信息，邮箱系统尤是，一旦客户信息出现泄漏，对用户和站长都是巨大损失，采用https加密协议无论从用户角度还是网站角度都是有利而无害的，使用https加密协议也会增加用户对网站的信任度。

2、支付系统、金融等高私密性网站；众所周知，电商系统多依赖支付系统实现成交，支付系统主要通过Internet传输商务信息和进行商务行动，这就要求网络间的数据传递、交换和处理需要很高的安全性，金融行业与支付系统一样，大量的私密数据交互在网络间传递在不安全的传输协议下进行风险太高，https加密协议可以很好解决这个隐患。因此，支付系统、金融等对安全性较高的网站是必须做好https加密协议传输的。

3、注重用户体验的网站；在谷歌声明收录https站点之后，火狐浏览器和谷歌浏览器同时做出回应，火狐安全团队负责人Richard Barnes公开表示，将会逐步淘汰“不安全”的http协议;而谷歌浏览器最新的测试版本中，用户在试图打开没有使用https加密传输的链接时，浏览器会发出明确警告，用户将会在地址栏左侧看到红色“X”符号。这些细节都是用户体验优先的网站不能忽视的，与搜索引擎一样，浏览器也在与时俱进，做好https站点可以让用户更放心选择自己。

虽然做一个https站点流程稍显复杂，对服务器要求很高。但着眼长远，从发展的眼光看来看，https一定会取代http站点，做好https站点也是未来建站的一个要点，不局限于上述的几种网站，能做出https站点的尽量做好，这些对网站都是有利的。