淘寶是如何做到全站HTTPS？啟用后不僅更安全而且更快

2020-04-12 11:46:04

字體：大中小

來源：轉載

供稿：網友

電商啟用全站HTTPS是一件門檻極高的事情，它需要投入巨大的資源，不僅是人力、財力等方面，而且對技術能力也提出了極為苛刻的要求。

一般來說，普通電商只會在登錄和交易這些“關鍵”環節啟用HTTPS。而目前，阿里巴巴是全球唯一大規模啟用電商平臺全站HTTPS的公司。

什么是HTTPS？百科是這樣解釋的。HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。現在它被廣泛用于互聯網上安全敏感的通訊，例如交易支付等。

從某種意義上來講，僅在登錄、交易支付環節啟用HTTPS只能說是最為基礎的安全解決辦法，而全站HTTPS才是更為高階，也更能體現技術能力的安全方案。

全站HTTPS的啟用并非易事，而對于類似淘寶、天貓這種體量的網站來說，更為艱巨。據悉，阿里巴巴全站HTTPS的改造歷時數月，涉及上百萬的頁面。阿里巴巴集團首席風險官劉振飛指出，盡管SSL加密技術較為成熟，但阿里巴巴啟用全站HTTPS仍舊面臨極大的挑戰，那就是系統的復雜性和巨大的投入。阿里巴巴之所以堅定地這么做，目的只有一個——竭盡所能地保護用戶信息安全。

啟用HTTPS必須解決的難題

然而，HTTPS并非“想上就上”，正式啟用之前，必須解決至少三個方面的大問題。

首先是性能，這也主要分三點。

1、HTTPS需要多次握手，因此網絡耗時變長，用戶從HTTP跳轉到HTTPS需要一些時間；

2、HTTPS要做RSA校驗，這會影響到設備性能；

3、所有CDN節點要支持HTTPS，而且需要有極其復雜的解決方案來面對DDoS的挑戰。

其次，兼容性及周邊。

1、頁面里所有嵌入的資源都要改成HTTPS的，這些資源可能會來自不同的部門甚至不同的公司，包括圖片、視頻、表單等等，否則瀏覽器就會報警；

2、移動客戶端（APP）也需要適配HTTPS，所以必須做調整修改；

3、解決第三方網站看不到Referer的問題；

4、所有的開發、測試環境都要做HTTPS的升級；

最后，為保證上線時的順利切換，需要提前準備大量的預案，以應對各種可能出現的情況。

阿里巴巴是怎么做電商全站HTTPS的？

2015年10月14日，杭州云棲大會上，阿里巴巴宣布旗下電商平臺已實現全站HTTPS。事實上，該工程于2015年9月底就已基本完成，這其中不僅有PC頁面的改造，還包括了淘寶、天貓等移動客戶端。

如此龐雜的系統工程，阿里巴巴是怎么做的？

首先，阿里巴巴采用了統一接入層的架構，并配備管控平臺。這樣的設計解決了很多問題，比如證書分散且落地不安全、軟件版本難以維護、配置過多、難以標準和自動化、VIP過多等。

其次，性能調優。“雙十一”系統交易創建峰值達到每秒鐘14萬筆，支付峰值達到每秒鐘8.59萬筆。即便如此，已經啟用了全站HTTPS的淘寶、天貓依然保證了網站和移動端的訪問、瀏覽、交易等操作的順暢、平滑。

而據阿里巴巴技術保障部技術專家李振宇介紹，阿里電商在啟用全站HTTPS后，性能不降反升，用戶訪問網站和移動端更為流暢。

阿里巴巴通過各種技術來保證優異的性能。比如以域名收斂的方式減少建連；采用HSTS技術去掉80到443的302跳轉，通過Session復用來提高建連速度和降低服務器壓力；對證書鏈進行優化以減少證書的傳輸量等等。

第三，將安全和兼容做到極致。阿里巴巴采用了雙證書模式，即SHA-1和SHA-256，此舉的目的在于最大限度地保證安全和兼容性。同時，阿里巴巴使用的是兼容性最寬泛的OV證書，全面支持單域名、多域名和泛域名，盡管費用較為昂貴，但能夠滿足多種瀏覽器訪問，保證最好的用戶體驗。據了解，阿里巴巴挑選了兩家業內頂級的證書供應商，之所以如此，主要是從冗余的角度考慮，如果一家證書出現問題，可以迅速地切換至另一證書，以保證用戶不受影響。另外，阿里巴巴還引入了泛域名SAN證書。

值得一提的是，“雙十一”全天的交易額高達912.17億元，其中在移動端交易額占比68%。也就是說，阿里電商啟用全站HTTPS后并未對移動端的體驗產生負面影響，反而有著更為積極的作用，而這都是通過技術手段進行調優的結果。

據悉，阿里巴巴無線技術團隊克服了大量技術難題，實現無線加密網絡傳輸的1秒鐘法則。

1、無線客戶端多端多版本適配性、兼容性的復雜，無線升級成本無疑比PC升級成本高很多。為了降低研發成本,在無線服務器和客戶端實現統一的中間層提供統一收斂域名切換到HTTPS功能，使得業務切換無感知。

2、無線基于TLS1.3協議進行了改造，在保障鏈路安全的情況下優化SSL握手過程實現零耗時提升了用戶體驗，摒棄傳統的RSA算法，轉而使用了最新的ECDH密鑰交換算法，極大地提升了服務端的性能。

3、無線網絡層實現了調度中心，通過該控制中心，我們可以從版本、域名、流量比例等多維度控制HTTPS流量切換，保證整個切換過程是可控、對用戶無感知的，有問題可以極速回滾。

據統計，經過改造后，阿里電商坐擁“世界上最大的HTTPS流量”，這其中涉及數百個應用、超百萬個頁面。沒有足夠堅定的決心和巨量的資源投入，顯然是不行的。

上一篇：建站教程：如何制定網站的標題？

下一篇：大型網站的HTTPS實踐(一)：HTTPS協議和原理