淘寶是如何做到全站HTTPS

　　淘寶是如何做到全站HTTPS。

　　電商啟用全站HTTPS是一件門檻極高的事情，它需要投入巨大的資源，不僅是人力、財(cái)力等方面，而且對(duì)技術(shù)能力也提出了極為苛刻的要求。

　　一般來(lái)說(shuō)，普通電商只會(huì)在登錄和交易這些“關(guān)鍵”環(huán)節(jié)啟用HTTPS。而目前，阿里巴巴是全球唯一大規(guī)模啟用電商平臺(tái)全站HTTPS的公司。

　　什么是HTTPS?百科是這樣解釋的。HTTPS(全稱：Hyper Text Transfer Protocol over Secure Socket Layer)，是以安全為目標(biāo)的HTTP通道。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL?，F(xiàn)在它被廣泛用于互聯(lián)網(wǎng)上安全敏感的通訊，例如交易支付等。

　　從某種意義上來(lái)講，僅在登錄、交易支付環(huán)節(jié)啟用HTTPS只能說(shuō)是最為基礎(chǔ)的安全解決辦法，而全站HTTPS才是更為高階，也更能體現(xiàn)技術(shù)能力的安全方案。

　　全站HTTPS的啟用并非易事，而對(duì)于類似淘寶、天貓這種體量的網(wǎng)站來(lái)說(shuō)，更為艱巨。據(jù)悉，阿里巴巴全站HTTPS的改造歷時(shí)數(shù)月，涉及上百萬(wàn)的頁(yè)面。阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官劉振飛指出，盡管SSL加密技術(shù)較為成熟，但阿里巴巴啟用全站HTTPS仍舊面臨極大的挑戰(zhàn)，那就是系統(tǒng)的復(fù)雜性和巨大的投入。阿里巴巴之所以堅(jiān)定地這么做，目的只有一個(gè)——竭盡所能地保護(hù)用戶信息安全。

　　啟用HTTPS必須解決的難題

　　然而，HTTPS并非“想上就上”，正式啟用之前，必須解決至少三個(gè)方面的大問(wèn)題。

　　首先是性能，這也主要分三點(diǎn)。

　　1、HTTPS需要多次握手，因此網(wǎng)絡(luò)耗時(shí)變長(zhǎng)，用戶從HTTP跳轉(zhuǎn)到HTTPS需要一些時(shí)間;

　　2、HTTPS要做RSA校驗(yàn)，這會(huì)影響到設(shè)備性能;

　　3、所有CDN節(jié)點(diǎn)要支持HTTPS，而且需要有極其復(fù)雜的解決方案來(lái)面對(duì)DDoS的挑戰(zhàn)。

　　其次，兼容性及周邊。

　　1、頁(yè)面里所有嵌入的資源都要改成HTTPS的，這些資源可能會(huì)來(lái)自不同的部門甚至不同的公司，包括圖片、視頻、表單等等，否則瀏覽器就會(huì)報(bào)警;

　　2、移動(dòng)客戶端(APP)也需要適配HTTPS，所以必須做調(diào)整修改;

　　3、解決第三方網(wǎng)站看不到Referer的問(wèn)題;

　　4、所有的開發(fā)、測(cè)試環(huán)境都要做HTTPS的升級(jí);

　　最后，為保證上線時(shí)的順利切換，需要提前準(zhǔn)備大量的預(yù)案，以應(yīng)對(duì)各種可能出現(xiàn)的情況。

　　阿里巴巴是怎么做電商全站HTTPS的?

　　2015年10月14日，杭州云棲大會(huì)上，阿里巴巴宣布旗下電商平臺(tái)已實(shí)現(xiàn)全站HTTPS。事實(shí)上，該工程于2015年9月底就已基本完成，這其中不僅有PC頁(yè)面的改造，還包括了淘寶、天貓等移動(dòng)客戶端。

　　如此龐雜的系統(tǒng)工程，阿里巴巴是怎么做的?

　　首先，阿里巴巴采用了統(tǒng)一接入層的架構(gòu)，并配備管控平臺(tái)。這樣的設(shè)計(jì)解決了很多問(wèn)題，比如證書分散且落地不安全、軟件版本難以維護(hù)、配置過(guò)多、難以標(biāo)準(zhǔn)和自動(dòng)化、VIP過(guò)多等。

　　其次，性能調(diào)優(yōu)?！半p十一”系統(tǒng)交易創(chuàng)建峰值達(dá)到每秒鐘14萬(wàn)筆，支付峰值達(dá)到每秒鐘8.59萬(wàn)筆。即便如此，已經(jīng)啟用了全站HTTPS的淘寶、天貓依然保證了網(wǎng)站和移動(dòng)端的訪問(wèn)、瀏覽、交易等操作的順暢、平滑。

　　而據(jù)阿里巴巴技術(shù)保障部技術(shù)專家李振宇介紹，阿里電商在啟用全站HTTPS后，性能不降反升，用戶訪問(wèn)網(wǎng)站和移動(dòng)端更為流暢。

　　阿里巴巴通過(guò)各種技術(shù)來(lái)保證優(yōu)異的性能。比如以域名收斂的方式減少建連;采用HSTS技術(shù)去掉80到443的302跳轉(zhuǎn)，通過(guò)Session復(fù)用來(lái)提高建連速度和降低服務(wù)器壓力;對(duì)證書鏈進(jìn)行優(yōu)化以減少證書的傳輸量等等。

　　第三，將安全和兼容做到極致。阿里巴巴采用了雙證書模式，即SHA-1和SHA-256，此舉的目的在于最大限度地保證安全和兼容性。同時(shí)，阿里巴巴使用的是兼容性最寬泛的OV證書，全面支持單域名、多域名和泛域名，盡管費(fèi)用較為昂貴，但能夠滿足多種瀏覽器訪問(wèn)，保證最好的用戶體驗(yàn)。據(jù)了解，阿里巴巴挑選了兩家業(yè)內(nèi)頂級(jí)的證書供應(yīng)商，之所以如此，主要是從冗余的角度考慮，如果一家證書出現(xiàn)問(wèn)題，可以迅速地切換至另一證書，以保證用戶不受影響。另外，阿里巴巴還引入了泛域名SAN證書。

　　值得一提的是，“雙十一”全天的交易額高達(dá)912.17億元，其中在移動(dòng)端交易額占比68%。也就是說(shuō)，阿里電商啟用全站HTTPS后并未對(duì)移動(dòng)端的體驗(yàn)產(chǎn)生負(fù)面影響，反而有著更為積極的作用，而這都是通過(guò)技術(shù)手段進(jìn)行調(diào)優(yōu)的結(jié)果。

　　據(jù)悉，阿里巴巴無(wú)線技術(shù)團(tuán)隊(duì)克服了大量技術(shù)難題，實(shí)現(xiàn)無(wú)線加密網(wǎng)絡(luò)傳輸?shù)?秒鐘法則。

　　1、無(wú)線客戶端多端多版本適配性、兼容性的復(fù)雜，無(wú)線升級(jí)成本無(wú)疑比PC升級(jí)成本高很多。為了降低研發(fā)成本,在無(wú)線服務(wù)器和客戶端實(shí)現(xiàn)統(tǒng)一的中間層提供統(tǒng)一收斂域名切換到HTTPS功能，使得業(yè)務(wù)切換無(wú)感知。

　　2、無(wú)線基于TLS1.3協(xié)議進(jìn)行了改造，在保障鏈路安全的情況下優(yōu)化SSL握手過(guò)程實(shí)現(xiàn)零耗時(shí)提升了用戶體驗(yàn)，摒棄傳統(tǒng)的RSA算法，轉(zhuǎn)而使用了最新的ECDH密鑰交換算法，極大地提升了服務(wù)端的性能。

　　3、無(wú)線網(wǎng)絡(luò)層實(shí)現(xiàn)了調(diào)度中心，通過(guò)該控制中心，我們可以從版本、域名、流量比例等多維度控制HTTPS流量切換，保證整個(gè)切換過(guò)程是可控、對(duì)用戶無(wú)感知的，有問(wèn)題可以極速回滾。

　　據(jù)統(tǒng)計(jì)，經(jīng)過(guò)改造后，阿里電商坐擁“世界上最大的HTTPS流量”，這其中涉及數(shù)百個(gè)應(yīng)用、超百萬(wàn)個(gè)頁(yè)面。沒有足夠堅(jiān)定的決心和巨量的資源投入，顯然是不行的。