啓用全站HTTPS後不只更安全並且更快 看淘寶是如何作到的

電商啓用全站HTTPS是一件門檻極高的事情，它須要投入巨大的資源，不只是人力、財力等方面，並且對技術能力也提出了極爲苛刻的要求。

通常來講，普通電商只會在登陸和交易這些「關鍵」環節啓用HTTPS。而目前，阿里巴巴是全球惟一大規模啓用電商平臺全站HTTPS的公司。

什麼是HTTPS？百科是這樣解釋的。HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全爲目標的HTTP通道。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，所以加密的詳細內容就須要SSL。如今它被普遍用於互聯網上安全敏感的通信，例如交易支付等。

從某種意義上來說，僅在登陸、交易支付環節啓用HTTPS只能說是最爲基礎的安全解決辦法，而全站HTTPS纔是更爲高階，也更能體現技術能力的安全方案。

全站HTTPS的啓用並不是易事，而對於相似淘寶、天貓這種體量的網站來講，更爲艱鉅。據悉，阿里巴巴全站HTTPS的改造歷時數月，涉及上百萬的頁面。阿里巴巴集團首席風險官劉振飛指出，儘管SSL加密技術較爲成熟，但阿里巴巴啓用全站HTTPS仍舊面臨極大的挑戰，那就是系統的複雜性和巨大的投入。阿里巴巴之因此堅決地這麼作，目的只有一個——竭盡所能地保護用戶信息安全。

啓用HTTPS必須解決的難題

然而，HTTPS並不是「想上就上」，正式啓用以前，必須解決至少三個方面的大問題。

首先是性能，這也主要分三點。

一、HTTPS須要屢次握手，所以網絡耗時變長，用戶從HTTP跳轉到HTTPS須要一些時間；

二、HTTPS要作RSA校驗，這會影響到設備性能；

三、全部CDN節點要支持HTTPS，並且須要有極其複雜的解決方案來面對DDoS的挑戰。

其次，兼容性及周邊。

一、頁面裏全部嵌入的資源都要改爲HTTPS的，這些資源可能會來自不一樣的部門甚至不一樣的公司，包括圖片、視頻、表單等等，不然瀏覽器就會報警；

二、移動客戶端（APP）也須要適配HTTPS，因此必須作調整修改；

三、解決第三方網站看不到Referer的問題；

四、全部的開發、測試環境都要作HTTPS的升級；

最後，爲保證上線時的順利切換，須要提早準備大量的預案，以應對各類可能出現的狀況。

阿里巴巴是怎麼作電商全站HTTPS的？

2015年10月14日，杭州雲棲大會上，阿里巴巴宣佈旗下電商平臺已實現全站HTTPS。事實上，該工程於2015年9月底就已基本完成，這其中不只有PC頁面的改造，還包括了淘寶、天貓等移動客戶端。

如此龐雜的系統工程，阿里巴巴是怎麼作的？

首先，阿里巴巴採用了統一接入層的架構，並配備管控平臺。這樣的設計解決了不少問題，好比證書分散且落地不安全、軟件版本難以維護、配置過多、難以標準和自動化、VIP過多等。

其次，性能調優。「雙十一」系統交易建立峯值達到每秒鐘14萬筆，支付峯值達到每秒鐘8.59萬筆。即使如此，已經啓用了全站HTTPS的淘寶、天貓依然保證了網站和移動端的訪問、瀏覽、交易等操做的順暢、平滑。

而據阿里巴巴技術保障部技術專家李振宇介紹，阿里電商在啓用全站HTTPS後，性能不降反升，用戶訪問網站和移動端更爲流暢。

阿里巴巴經過各類技術來保證優異的性能。好比以域名收斂的方式減小建連；採用HSTS技術去掉80到443的302跳轉，經過Session複用來提升建連速度和下降服務器壓力；對證書鏈進行優化以減小證書的傳輸量等等。

第三，將安全和兼容作到極致。阿里巴巴採用了雙證書模式，即SHA-1和SHA-256，此舉的目的在於最大限度地保證安全和兼容性。同時，阿里巴巴使用的是兼容性最寬泛的OV證書，全面支持單域名、多域名和泛域名，儘管費用較爲昂貴，但可以知足多種瀏覽器訪問，保證最好的用戶體驗。據瞭解，阿里巴巴挑選了兩家業內頂級的證書供應商，之因此如此，主要是從冗餘的角度考慮，若是一家證書出現問題，能夠迅速地切換至另外一證書，以保證用戶不受影響。另外，阿里巴巴還引入了泛域名SAN證書。

值得一提的是，「雙十一」全天的交易額高達912.17億元，其中在移動端交易額佔比68%。也就是說，阿里電商啓用全站HTTPS後並未對移動端的體驗產生負面影響，反而有着更爲積極的做用，而這都是經過技術手段進行調優的結果。

據悉，阿里巴巴無線技術團隊克服了大量技術難題，實現無線加密網絡傳輸的1秒鐘法則。

一、無線客戶端多端多版本適配性、兼容性的複雜，無線升級成本無疑比PC升級成本高不少。爲了下降研發成本,在無線服務器和客戶端實現統一的中間層提供統一收斂域名切換到HTTPS功能，使得業務切換無感知。

二、無線基於TLS1.3協議進行了改造，在保障鏈路安全的狀況下優化SSL握手過程實現零耗時提高了用戶體驗，摒棄傳統的RSA算法，轉而使用了最新的ECDH密鑰交換算法，極大地提高了服務端的性能。

三、無線網絡層實現了調度中心，經過該控制中心，咱們能夠從版本、域名、流量比例等多維度控制HTTPS流量切換，保證整個切換過程是可控、對用戶無感知的，有問題能夠極速回滾。

據統計，通過改造後，阿里電商坐擁「世界上最大的HTTPS流量」，這其中涉及數百個應用、超百萬個頁面。沒有足夠堅決的決心和巨量的資源投入，顯然是不行的。

關於阿里百川

阿里百川（baichuan.taobao.com)是阿里巴巴集團「雲」+「端」的核心戰略是阿里巴巴集團無線開放平臺，基於世界級的後端服務和成熟的商業組件，經過「技術、商業及大數據」的開放，爲移動創業者提供可快速搭建App、商業化APP並提高用戶體驗的解決方案；同時提供多元化的創業服務-物理空間、孵化運營、創業投資等，爲移動創業者提供全面保障。