【科讯】iOS 提高安全“门槛”：HTTPS,该升了吗？

本篇文章2631字，读完约7分钟

两周前，苹果在发布会上宣布，苹果将继续向开发者发送ios 9文件，并确认了ios 9上市时相关app可以准备好。 这些文档中的信息包括名为app传输安全( ATS )的安全功能。 要求访问所有ios 9设备的信息必须通过https加密进行设置。 这样就可以防止黑客窥探客户网络传输的数据.。

这个消息传出，引起了网民和业界的热烈讨论，谷歌表示:“谷歌承认产业使用https，但对于经过本公司系统的第三方广告互联网和创新代码，并不一定完全认可这个想法。” 总之，苹果为移动端的数据安全设置了更高的新阈值。

因此，不仅是广告主，许多使用http的移动网络公司最近都需要选择是否切换到https。 那对公司来说，选择https现在值得吗？ 其利弊是什么？ 在这里，从不同的立场开始，为大家进行分解。

升级https值得吗？

https是面向实质上安全的新闻通信的协议。 从最终数据分析的角度来看，https和http没有本质区别。 对接收侧来说，ssl/tsl解码接收到的分组，通过将数据传递到http协议层来形成http数据。 https用ssl/tsl层加密http分组，确保传输数据的安全性。

ssl/tsl是一种分层协议，由两层组成，允许服务器和客户端相互认证，在应用层协议传输数据之前协商加密算法和会话密钥。 ssl/tsl握手首先交换三条新闻:数字证书、随机数和秘密通信协议，以确保访问安全。

这样，https就可以实现以下目标: 这也是基于安全的第一价值。

l数据隐私。 避免复制在传输过程中被第三者看到，通过不对称加密和密钥交换来实现。

l数据完整性及时发现被第三方篡改的传输副本，及时保持数据完整性。

l身分証明书。 确保数据到达客户希望的目标pki和数字证书。

这样就知道为什么谷歌广告不能刊登了。 如果客户使用safari浏览网页，除非广告副本通过https连接(大多数广告不需要加密)，否则ios 9无法正常运行，被阻止。

困难缺陷: https的两大弊端

对公司来说，切换到https的价格不高，可以大幅提高安全性。 还是有些互联网公司不想采用它呢？。 为什么？ 因为https也有不可忽视的弊端。

首先，https降低访问速度。 综上所述，为了实现从http到https的转移，需要多次计算和交互、ssl完全握手引起的延迟、证书的状态检查等。 这些自然影响https的访问速度。 这是https没有被很多企业选择的主要原因。

其次，https消耗cpu的计算能力。 这是握手阶段的最大数运算，密钥交换时私钥解密阶段的性能消耗达到ssl握手整体性能消耗的95%。 完全握手后，web服务器的解决能力将下降到http的10%以下。

以上两点是https的第一缺点。 因为很多网络公司根据客户满意度和产品性能选择不使用https，即使这有很好的安全性价值。

选择https吗？ 还是不值得？

因此，https的缺陷显然没有公开。 这表明这些弊端很容易击中许多产品的性能方面。 但是，比较这些缺点可以发现，在导致访问延迟方面，已经存在成熟的优化方法。

百度从2009年开始对外开放https访问，之后进行了监视解体，结果发现如果网站没有进行任何优化，https明显很慢。 网站本身已经进行了通常的优化，但是不比较https进行优化的话，百度实测的结果是0.2 - 0.4秒的时间的增加。

因此，企业可以对网站进行部分优化，具体可以分为以下几个方面。

首先，在服务器端配置hsts，配置可以减少302跳的sslsession的共享存储器cache，配置相同的session ticket key，引入多个服务，从而多个不同的服务成为相同的SESION tion。 设置ocsp stapling file，以便ocsp请求发送到网站的web服务器，而不是ca提供的ocsp网站。

另外，由于支持pfs( perfect forward secrecy )，可以实现false start，所以也可以优先采用ecdhe密钥交换算法。 设定tls record size时，最好能动态调整record size，即在建立连接后立即将record size设定为msg，在连接稳定后动态增加record size。

如果有条件，也可以启用tcp fast open。 或者启用spdy会显着提高https的速度，比http快。 在无线wifi环境中，spdy比http快50ms左右，在3g环境中比http快250ms。

这些方法可以从https操作的所有方向优化接入速度并减少延迟。 当然，这些优化不是简单的事件，但公司可以访问提供充分优化的https服务的云平台，而无需自己操作刀。 以upyun为例，作为国内第一家提供全节点https访问(定制ssl服务)的云cdn制造商，upyun支持客户自主进入ssl证书，开始完全定制的https访问。

这样，访问服务的顾客就完全自主地享受整个网络的https加密功能，与upYuncdn加速服务合作，对在顾客和服务器之间流动的数据进行加密。 此外，upyun选择采用支持默认域名https服务和自主域名https服务的两种方法，根据顾客的实际诉求，将https + cdn集成到顾客产品体系中，执行终端访问加密+加速服务

重要的是，upyun定制ssl支持tls协议支持的版本有苹果指定的tls v 1.2，使用upyun https服务的客户可以与ios 9系统下的苹果设备无缝对接哦。

这样，提供以upyun为代表的https服务的云平台，企业一站式地享受https的安全价值，可以避免其性能的劣势。 效果就像客户自主切换和构建https优化系统一样，帮助客户节约这两个业务的价格消费。

无论选择哪种方法，对比度优化都将https的两大弊端对客户体验和产品性能的负面影响降到最低，强调良好的安全价值。 在此前提下，我们可以得出以下结论:数据安全对公司的快速发展很重要，以及迅速抢占ios新市场的意义，选择https绝对值得。

苹果再次领导领域潮流，及时赶上是明智的。 你的选择，又是什么？

1 .每天的网络遵循领域规范，转载的原稿都确定注释的作者和来源2 .每天网络的原始复印件，转载时一定要注明文案作者和“来源:每天互联网”，不尊重原始行为的每天在网上。 3 .作者的帖子可能每天在网上制作或补充。