抓住小程序红利 HTTPS必不可少

字号:

  微信小程序有多火?看看自其上线后媒体连篇累牍的各类报道、解读,看看百度指数这几天的蹿升就能略知一二。

抓住小程序红利 HTTPS必不可少

  那么,为什么小程序这么火?一方面,微信用户想了解小程序能为自己的生活带来哪些便利;另一方面, 要从2012年说起。。。

  2012年08月23日,微信公众平台正式上线,先入者们赶上了红利期,大多赚得盆满钵满,而后来者们还在苦苦拼搏。。。

  是的,众多在互联网行业打拼的从业者、开发者们,再也不想错失微信小程序的创富机遇,纷纷摩拳擦掌,准备开发自己的小程序。但和公众号不同的是,作为一种应用程序,安全是小程序的基础,甚至可说是第一要务。为此,腾讯官方强制要求小程序使用HTTPS连接。那么,HTTPS是什么?HTTPS如何保障小程序的安全使用?开发者又该如何为小程序配置HTTPS?

  HTTPS保障小程序使用安全

  在PC互联网时代,我们从网络上下载程序使用。但部分程序被植入了木马或后门,电脑一旦安装即会“中招”。而小程序是基于H5网页技术开发的,在线即可使用,无需安装,但却存在其他安全威胁。长期以来,网络上的通信都通过HTTP协议传输,由于未经加密,所以风险极高。举个例子,在使用一款信息查询小程序时,当你将个人信息提交后,如果这些信息通过HTTP协议传输到服务器端,那么信息很可能在传输中被第三方截获。更糟糕的是,HTTP协议无法验证程序服务器的真实性。设想如果有人在微信群中传播仿冒的“钓鱼”小程序,后果不堪设想。

  那么,HTTPS是什么?简单点说,HTTPS是HTTP的安全版,是在HTTP的基础上加入SSL证书(服务器证书)后形成的安全协议。https协议不仅可以建立信息加密通道来保证数据传输安全,还能认证服务器的真实性,预防“钓鱼”网站。正是基于通信加密和身份验证的安全需求,每个微信小程序必须事先设置一个通讯域名,该域名应是经过认证的合法域名,并通过HTTPS请求进行网络通信,不满足条件的域名和协议无法发出请求,小程序也就无法被使用。

  如何选择合适的SSL证书

  既然HTTPS=HTTP+SSL证书,那么选择一张合适的SSL证书就显得至关重要。而对于SSL证书的选择,以下建议可供开发者参考:

  首先是证书类型,目前SSL证书主要分DV域名型、OV组织型、EV增强型三种。DV证书没有身份认证的功能,不推荐使用;EV证书的安全级别最高,且能显示绿色地址栏和认证名称,但价格较高。而且小程序并不显示地址栏,所以EV证书的优势不能充分体现;OV证书功能完善、成本较低,目前来看是最适合开发者的一种SSL证书;如果你有多个甚至N多个小程序,一张张的购买证书费时费力且成本太高,所以可以选择多域名OV证书,用一张证书保护多个小程序通讯域名。

  其次是看证书支持度,证书需要支持所有操作系统和浏览器,特别是安卓和IOS,毕竟目前绝大多数手机都在用这两个系统。如果你选用的证书不支持以上两个系统,也就不能获得HTTPS和域名认证。

  最后是选对证书签发机构,SSL证书是由第三方数字证书管理机构(简称CA)签发的,在CA的选择上,需要注意以下几点:

  应通过媒体等渠道了解CA的风险控制能力。因为如果CA的风控水平不高,就有可能出现错发证书并被操作系统、浏览器厂商惩罚的情况。而如果你正好在用出事CA的证书,恐怕就得换掉了。

  申请SSL证书需要开发者向CA提供身份证明资料供审核。小程序着急上线,可证书审批缓慢,那将是一件让人头疼的事。在这方面,国内CA具有较大优势,效率高的一两个工作日就能审核签发OV证书。

  SSL证书是按数量和年限收费的,如果有多个小程序,即使是OV证书,每年的证书费也是一笔不小的开销。你可以多关注下各CA的营销活动,因为有时能以极低的成本获得证书。例如中国金融认证中心(CFCA)近期就在向企业、开发者提供SSL证书免费试用、买一赠一等活动,并能全程协助开发者完成证书部署。CFCA SSL证书是目前唯一能支持所有操作系统和浏览器的国产证书,其在证书价格、技术支持等方面比国外证书更为本土化。你可以在小程序测试阶段先向CFCA申请免费试用证书,等程序上线后再申请付费证书。

抓住小程序红利 HTTPS必不可少

  小程序的红利期转瞬即逝,开发者们要抓紧时间,撸起袖子加油干。但与此同时,不要忽视安全的重要性,在程序开发前期就应着手解决HTTPS的问题,避免因此延误小程序的上线使用。

  如果您希望了解更多与SSL证书相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。