電商啓用全站HTTPS是一件門檻極高的事情,它需要投入巨大的資源,不僅是人力、財力等方面,而且對技術能力也提出了極爲苛刻的要求。
一般來說,普通電商只會在登錄和交易這些“關鍵”環節啓用HTTPS。而目前,阿里巴巴是全球唯一大規模啓用電商平臺全站HTTPS的公司。
什麼是HTTPS?百科是這樣解釋的。HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全爲目標的HTTP通道。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。現在它被廣泛用於互聯網上安全敏感的通訊,例如交易支付等。
從某種意義上來講,僅在登錄、交易支付環節啓用HTTPS只能說是最爲基礎的安全解決辦法,而全站HTTPS纔是更爲高階,也更能體現技術能力的安全方案。
全站HTTPS的啓用並非易事,而對於類似淘寶、天貓這種體量的網站來說,更爲艱鉅。據悉,阿里巴巴全站HTTPS的改造歷時數月,涉及上百萬的頁面。阿里巴巴集團首席風險官劉振飛指出,儘管SSL加密技術較爲成熟,但阿里巴巴啓用全站HTTPS仍舊面臨極大的挑戰,那就是系統的複雜性和巨大的投入。阿里巴巴之所以堅定地這麼做,目的只有一個——竭盡所能地保護用戶信息安全。
啓用HTTPS必須解決的難題
然而,HTTPS並非“想上就上”,正式啓用之前,必須解決至少三個方面的大問題。
首先是性能,這也主要分三點。
1、HTTPS需要多次握手,因此網絡耗時變長,用戶從HTTP跳轉到HTTPS需要一些時間;
2、HTTPS要做RSA校驗,這會影響到設備性能;
3、所有CDN節點要支持HTTPS,而且需要有極其複雜的解決方案來面對DDoS的挑戰。
其次,兼容性及周邊。
1、頁面裏所有嵌入的資源都要改成HTTPS的,這些資源可能會來自不同的部門甚至不同的公司,包括圖片、視頻、表單等等,否則瀏覽器就會報警;
2、移動客戶端(APP)也需要適配HTTPS,所以必須做調整修改;
3、解決第三方網站看不到Referer的問題;
4、所有的開發、測試環境都要做HTTPS的升級;
最後,爲保證上線時的順利切換,需要提前準備大量的預案,以應對各種可能出現的情況。
阿里巴巴是怎麼做電商全站HTTPS的?
2015年10月14日,杭州雲棲大會上,阿里巴巴宣佈旗下電商平臺已實現全站HTTPS。事實上,該工程於2015年9月底就已基本完成,這其中不僅有PC頁面的改造,還包括了淘寶、天貓等移動客戶端。
如此龐雜的系統工程,阿里巴巴是怎麼做的?
首先,阿里巴巴採用了統一接入層的架構,並配備管控平臺。這樣的設計解決了很多問題,比如證書分散且落地不安全、軟件版本難以維護、配置過多、難以標準和自動化、VIP過多等。
其次,性能調優。“雙十一”系統交易創建峯值達到每秒鐘14萬筆,支付峯值達到每秒鐘8.59萬筆。即便如此,已經啓用了全站HTTPS的淘寶、天貓依然保證了網站和移動端的訪問、瀏覽、交易等操作的順暢、平滑。
而據阿里巴巴技術保障部技術專家李振宇介紹,阿里電商在啓用全站HTTPS後,性能不降反升,用戶訪問網站和移動端更爲流暢。
阿里巴巴通過各種技術來保證優異的性能。比如以域名收斂的方式減少建連;採用HSTS技術去掉80到443的302跳轉,通過Session複用來提高建連速度和降低服務器壓力;對證書鏈進行優化以減少證書的傳輸量等等。
第三,將安全和兼容做到極致。阿里巴巴採用了雙證書模式,即SHA-1和SHA-256,此舉的目的在於最大限度地保證安全和兼容性。同時,阿里巴巴使用的是兼容性最寬泛的OV證書,全面支持單域名、多域名和泛域名,儘管費用較爲昂貴,但能夠滿足多種瀏覽器訪問,保證最好的用戶體驗。據瞭解,阿里巴巴挑選了兩家業內頂級的證書供應商,之所以如此,主要是從冗餘的角度考慮,如果一家證書出現問題,可以迅速地切換至另一證書,以保證用戶不受影響。另外,阿里巴巴還引入了泛域名SAN證書。
值得一提的是,“雙十一”全天的交易額高達912.17億元,其中在移動端交易額佔比68%。也就是說,阿里電商啓用全站HTTPS後並未對移動端的體驗產生負面影響,反而有着更爲積極的作用,而這都是通過技術手段進行調優的結果。
據悉,阿里巴巴無線技術團隊克服了大量技術難題,實現無線加密網絡傳輸的1秒鐘法則。
1、無線客戶端多端多版本適配性、兼容性的複雜,無線升級成本無疑比PC升級成本高很多。爲了降低研發成本,在無線服務器和客戶端實現統一的中間層提供統一收斂域名切換到HTTPS功能,使得業務切換無感知。
2、無線基於TLS1.3協議進行了改造,在保障鏈路安全的情況下優化SSL握手過程實現零耗時提升了用戶體驗,摒棄傳統的RSA算法,轉而使用了最新的ECDH密鑰交換算法,極大地提升了服務端的性能。
3、無線網絡層實現了調度中心,通過該控制中心,我們可以從版本、域名、流量比例等多維度控制HTTPS流量切換,保證整個切換過程是可控、對用戶無感知的,有問題可以極速回滾。
據統計,經過改造後,阿里電商坐擁“世界上最大的HTTPS流量”,這其中涉及數百個應用、超百萬個頁面。沒有足夠堅定的決心和巨量的資源投入,顯然是不行的。
關於阿里百川
阿里百川(baichuan.taobao.com)是阿里巴巴集團“雲”+“端”的核心戰略是阿里巴巴集團無線開放平臺,基於世界級的後端服務和成熟的商業組件,通過“技術、商業及大數據”的開放,爲移動創業者提供可快速搭建App、商業化APP並提升用戶體驗的解決方案;同時提供多元化的創業服務-物理空間、孵化運營、創業投資等,爲移動創業者提供全面保障。