關於全站https必要性http流量劫持、dns劫持等相關技術
微信已經要求微信支付,申請退款功能必須12月7號之前必須使用https證書了(其他目前為建議使用https),IOS也是2017年1月1號要求所有請求使用https了,國內有些https證書要1000元一年,阿里雲 雲盾證書 有免費型DV SSL,國外有免費的。
網站遲早要全面https化的(雖然有一點技術難度和訪問比較慢但趨勢已經非常明顯了),國內運營商域名劫持植入廣告太嚴重了,http請求用各種技術手段都很難防住,所以不是微信、ios強制也應該要盡快切換到https,網站在google、百度上還會對全站https增加排名權重優先收錄。
國內出名點的網站都已經用https了,知乎,豆瓣都用上了,發現很多之前收藏的網址都跳轉到https上了,不管從安全和最終結果看這個技術債需要盡快還上才行。
----------------------------------------------------
經過測試發現域名是直接被劫持 解析到劫持的服務器ip去
看來還是要用d+服務才保險,具體請看本人另外一篇文章:
網站app被劫持怎么辦?HTTPDNS阿里雲域名防劫持, DNSPod 移動解析服務 D+ - 流風,飄然的風 - 博客園
http://www.cnblogs.com/zdz8207/p/doman-HTTPDNS-DNSPod.html
---------------------------
HTTPDNS使用HTTP協議進行域名解析,代替現有基於UDP的DNS協議,域名解析請求直接發送到阿里雲的HTTPDNS服務器,從而繞過運營商的Local DNS,能夠避免Local DNS造成的域名劫持問題和調度不精准問題。
從原理上來講,“D+”只是將域名解析的協議由DNS協議換成了Http協議,並不復雜。 好像D+原理跟HTTPDNS是一樣的
但有個漏洞 httpdns也是走http存在被劫持的可能,這樣就很難處理了
遇到這種情況用戶反應后只能靠大廠去解決或者用ip請求httpdns(ios審核過,基本沒問題)
httpdns被劫持的話域名也是阿里雲或騰訊雲的反饋給他們,他們會去找劫持那邊處理
他們也是有收費服務的,起碼好過自己找運營商解決。
====================================
【微信支付】企業付款開發者文檔
https://pay.weixin.qq.com/wiki/doc/api/tools/mch_pay.php?chapter=4_3
4、商戶回調API安全
在普通的網絡環境下,HTTP請求存在DNS劫持、運營商插入廣告、數據被竊取,正常數據被修改等安全風險。商戶回調接口使用HTTPS協議可以保證數據傳輸的安全性。所以微信支付建議商戶提供給微信支付的各種回調采用HTTPS協議。請參考:HTTPS搭建指南 https://pay.weixin.qq.com/wiki/doc/api/tools/mch_pay.php?chapter=10_4#
https://pay.weixin.qq.com/wiki/doc/api/app/app.php?chapter=9_4&index=6
=================================
HTTP:是互聯網上應用最為廣泛的一種網絡協議,是一個客戶端和服務器端請求和應答的標准(TCP),用於從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議。它可以使瀏覽器更加高效,使網絡傳輸減少。
HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。HTTPS協議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。
HTTP與HTTPS有什么區別?
HTTP協議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸,於是網景公司設計了SSL(Secure Sockets Layer)協議用於對HTTP協議傳輸的數據進行加密,從而就誕生了HTTPS。
簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全。
HTTPS和HTTP的區別主要如下:
一、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用(阿里雲 雲盾證書 有免費型DV SSL)。
二、http是超文本傳輸協議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
四、http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。
盡管HTTPS並非絕對安全,掌握根證書的機構、掌握加密算法的組織同樣可以進行中間人形式的攻擊。但HTTPS仍是現行架構下最安全的解決方案,並且它大幅增加了中間人攻擊的成本。
網站優化
谷歌曾在2014年8月份調整搜索引擎算法,並稱“比起同等HTTP網站,采用HTTPS加密的網站在搜索結果中的排名將會更高”。
缺點:
SEO方面:據ACM CoNEXT數據顯示,使用HTTPS協議會使頁面的加載時間延長近50%,增加10%到20%的耗電。
此外,HTTPS協議還會影響緩存,增加數據開銷和功耗,甚至已有安全措施也會受到影響也會因此而受到影響。
而且HTTPS協議的加密范圍也比較有限,在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什么作用。
最關鍵的,SSL 證書的信用鏈體系並不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
經濟方面
1、SSL 證書需要錢。功能越強大的證書費用越高。個人網站、小網站沒有必要一般不會用。
2、SSL 證書通常需要綁定 IP,不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴展可以部分解決這個問題,但是比較麻煩,而且要求瀏覽器、操作系統支持。Windows XP 就不支持這個擴展,考慮到 XP 的裝機量,這個特性幾乎沒用。)
3、HTTPS 連接緩存不如 HTTP 高效,大流量網站如非必要也不會采用。流量成本太高。
4、HTTPS 連接服務器端資源占用高很多,支持訪客稍多的網站需要投入更大的成本。如果全部采用 HTTPS,基於大部分計算資源閑置的假設的 VPS 的平均成本會上去。
5、HTTPS 協議握手階段比較費時,對網站的相應速度有負面影響。如非必要,沒有理由犧牲用戶體驗。
谷歌的態度
谷歌在HTTPS站點的收錄問題上與對HTTP站點態度並無什么不同之處,甚至把“是否使用安全加密”(HTTPS)作為搜索排名算法中的一個參考因素,采用HTTPS加密技術的網站能得到更多的展示機會,排名相對同類網站的HTTP站點也更有優勢。而且谷歌曾明確表示“希望所有的站長都能將使用 HTTPS協議,而非HTTP”更是表明了其對達到“HTTPS everywhere”這一目標的決心。
百度的態度
雖然百度曾表示“不會主動抓取https網頁”,但對於“很多https網頁無法被收錄”也是“耿耿於懷”。去年9月份,百度曾就“https站點如何建設才能對百度友好”問題發布了一篇文章,給出了“提高https站點的百度友好度”的四項建議及具體操作。
可見百度不主動抓取HTTPS站點也只是暫時的。