微信小程序一定要用https的理由,小程序使用HTTPS链接分析
一、HTTPS
HTTPS是HTTP的安全版,在HTTP的基础上加入SSL证书 (服务器证书)后形成的安全协议,不但可以建立信息加密通过保障数据传输的安全,还能认证服务器的真实性,防止“钓鱼”网站。每个微信小程序都需要先设置一个通讯合法域名,并通过HTTPS请求进行网络通信,不满足的域名和协议无法发出请求,小程序也会无法使用。
二、 HTTPS保障小程序使用安全
在互联网时代,我们都会下载程序使用,但是有些程序被植入了木马或后门,一旦安装就会中毒。小程序是基于H5网页技术开发的,在线就可以使用,无需安装,但是存在其他安全威胁。网络的通信一直都是通过HTTP协议传输,是没有经过加密的,存在极高的风险,也就说,未经过加密的信息,通过HTTP传输过程中,容易被第三方截取而泄露了个人重要信息。更重要的一点是,HTTP协议无法验证程序服务器的真实性,即使在微信群中传播仿冒“钓鱼”小程序也不会知道。
三、 选择合适的SSL证书
HTTPS =HTTP SSL证书,那要怎样选一张合适的SSL证书呢?
(一)证书类型
目前的SSL证书类型分为DV域名型、OV组织型、EV增强型三种:
1. DV证书没有身份认证的功能,所以不作推荐;
2. EV证书的安全级别最高,可显示绿色地址栏和认证名称,但价格相对较高;(小程序并不显示地址栏,所以EV证书的优势不能充分体现)
3. OV证书功能完善、成本较低,是目前比较适合开发者的一种SSL证书。(如果你有多个甚至N多个小程序,一张张的购买证书费时费力且成本太高,选择多域名OV证书,用一张证书就可以保护多个小程序通讯域名。)
(二)证书支持度
证书要支持所有的浏览器和操作系统,特别是目前手机市场都在用的两个系统,安卓和IOS。
(三)证书签发机构
SSL证书是由第三方数字证书管理机构(简称CA)签发的,所以选择的时候需要注意:
1、先通过媒体等渠道了解CA的风险控制能力。如果CA的风控水平不高,有可能会出现错发证书并且被浏览器、操作系统厂商惩罚问题;
2、申请SSL证书,开发者需提交身份证明资料以供CA审核;
3、SSL证书是按数量和年限收费。(可以多关注各CA营销活动,以低成本获得证书)。