互联网发展至今，人们已经受够了因为在浏览器中输入HTTP格式的网址，而不得不承受访问行为曝光、数据泄露、钓鱼攻击的糟糕体验，HTTP网络安全问题像一个隐形的狙击手，狙击着世界网络的安全，由此推广全球化的全站HTTPS趋势已刻不容缓。

　　去年6月，苹果要求所有iOS App在2016年底全部使用HTTPS;同年天猫淘宝将数百几万级的HTTP页面大规模迁徙成HTTPS；而在去年11月Google宣布将不再为没有妥善加密的网站进行背书前，在云安全领域独树一帜的涂鸦智能已悄然攻破了全站HTTPS技术，在国内巨头忙于迁徙，中小型企业还处以混沌状态的HTTPS安全领域，涂鸦智能率先携手时代新贵『全站HTTPS』，全面守护用户设备安全并与全球化巨头共同衔接世界网络安全技术。

　　HTTP与HTTPS的时过境迁

　　某天的某个闲暇时间你在百度上随机输入“堕胎”两个字，紧接着无痛人流的电话就打进来了，此时你以为是百度把你的信息卖给了无良的医院，但一个成熟的互联网巨头不可能不知道用户信息泄露对于它本身而言意味着什么。

　　其实答案并非是百度售卖了用户信息，而是在于对外开放的HTTP协议造成的用户访问信息泄露。因为HTTP协接近裸奔，黑客可以从路由器和复杂的互联网链路中制造流量劫持、数据泄露、数据篡改、网站钓鱼等契机来获取非法收益。

HTTP主要问题

　　 1.裸露的风险

　　HTTP协议无法加密数据，通过网络嗅探设备，用户在基于HTTP协议的Web应用 上的传输内容都可以被中间者轻易查看和修改，所以流量劫持、网站钓鱼、数据篡改等事件频发。

　　2无法验证网站身份

　　HTTP协议无法验证通信方身份，任何人都可以伪造虚假服务器欺骗用户，实现“钓鱼欺诈”，如果网站UI做的如假包换，那用户根本无法察觉。

　　HTTPS优势

　　通过HTTPS可以加密数据，就算出现流量劫持现象，黑客获取的数据也是加密数据，无法还原用户数据信息和访问信息。

　　从上图看，从客户端出来就已经是密文数据了

　　（图取自CSDN)

　　 从HTTP至HTTPS的迁徙，符合时代劣币良逐的准则

　　为什么要建立全站HTTPS才是真正安全

　　1.很多网站所有者认为，只有登录页面和交易页面才需要HTTPS保护，而事实上，在 PC 端的流量很少有直接进入 HTTPS 网站的。典型的有支付场景，例如从淘宝跳到支付宝或京东跳转到银联、微信支付的页面，若淘宝或京东的页面没有使用HTTPS,那黑客通过注入XSS，便能将本该跳转到HTTPS页面的用户劫持到钓鱼网站，用户安全就会受到很大威胁。

　　2.部分用户通过网址输入访问网站，例如：www.baidu.com，此时浏览器可能使用默认的HTTP 去访问，若百度的HTTP版本存在，功能仅为将用户重定向到自己的HTTPS 站点上。劫持流量的黑客，在这个间隙中就可以拦下重定向命令，将用户劫持到自己重定向的站点内，如此，用户的安全也会受到很大威胁。

　　而全站HTTPS化可以确保用户在访问网站时全程HTTPS加密，不给中间人跳转劫持的机会。

　　（图片来源：EtherDream）

　　全站HTTPS的技术难点

　　如前文所述，既然前站HTTPS的优势如此明显，何为国内的网站还是未作出页面迁徙呢?由于HTTPS的技术难点居多，正式启用前还需要大量的方案Back up，以至于诸多公司望而却步。

　　HTTPS技术难点

　　1.HTTPS需要多次握手，因此网络耗时变长

　　 2.HTTPS要做RSA校验，影响设备性能

　　 3.所有CDN节点要支持HTTPS，需极其复杂的解决方案来面对DDOS挑战

　　 4.兼容问题：页面里所有嵌入的资源都要改成HTTPS，这些资源可能会来自不同的部门甚至不同的公司，包括图片、视频、表单等等

　　 5.移动端也需要适配HTTPS

　　 6.所有的开发、测试环境都要做HTTPS的升级

　　涂鸦如何攻克全站HTTPS

　　由于涂鸦业务涉及App、网站、硬件、云对接、WebSocket通信等多个场景和纬度，相比较传统的PC和软件业务更为复杂。

　　（涂鸦在Google Chrome浏览器的HTTPS证书显示）

封装统一的API接入层

　　涂鸦借助淘宝无线平台架构模型，封装统一的API接入层，解决证书分散、软件版本维护、配置过多、难以标准和自动化等方面的问题。

逐步轮换，自动化检测机制

　　由于浏览器对HTTPS内容的强制限制，除了网站本身支持HTTPS外，网站页面里的内容都需要同时支持HTTPS,这就涉及到大量的CSS、JS、CDN等依赖资源的加载链路。涂鸦采用逐步轮换制度和自动化检测机制来保证每个页面内容的有效更新。

同步升级MQTT和WebSocket服务以支持SSL认证

　　涂鸦不仅提供HTTP协议服务,还有专为物联网场景设计的MQTT协议和浏览器需要使用的WebSockert协议,由于传统网站或软件不涉及此场景，所以涉及这些领域的专业技术资料也十分有限，涂鸦为此引入了大量的浏览器和软件做兼容性测试,以验证性能损耗和兼容稳定性。

证书信任级别

　　为了提升证书信任级别和安全机制，涂鸦采用OV专业级SSL证书不仅认证网站域名,同时认证公司实体，全面支持单域名、多域名和泛域名。

　　（涂鸦官网HTTPS OV SSL证书 显示涂鸦智能公司抬头)

　　高昂的成本只为满足用户浏览多种浏览器的体验需求，而业内使用IV个人级或DV基础级证书的企业只认证域名，不认证公司是否真实存在（不显示公司抬头），相比较而言涂鸦智能的证书更具权威性。

　　（涂鸦官网其他页面HTTPS OV SSL证书 )

　　（官网内点开“细节”显示公司抬头）

安全加密

　　涂鸦将所有业务程序升级到更高安全级别的SHA-2加密方式

资源损耗优化

　　由于物联网硬件模块资源有限，涂鸦针对物联网设备特性在HTTPS数据转输上也做了相应的优化,以降低协议对设备的资源损耗。