微信小程序HTTPS已經是當下最熱門的話題，下面將從多方面來談談微信小程序HTTPS相關的內容，下面從小程序是否必須要用https，小程序https證書配置，小程序https證書問題，小程序https post等七篇系列來講解。
 

一、微信小程序接入的困境

開發者在接入微信小程序過程中，會遇到以下問題：

微信小程序要求必須通過 HTTPS 完成與服務端通信，若開發者選擇自行搭建 HTTPS 服務，那需要自行 SSL 證書申請、部署，完成 https 服務搭建，效率低流程冗長;且 HTTPS 的 SSL 加解析，對服務器的 CPU 有極大的開銷。

不僅僅是小程序，蘋果 iOS 平臺，Google Android 在 2017 也逐步強制要求開發者使用 HTTPS 接入。HTTPS 似乎是一個繞不開的門檻，讓不少開發者頭痛不已。

針對以上問題，騰訊云的負載均衡服務(cloud load balance)，希望通過對 HTTPS 的性能優化，提供一鍵式的 SSL 證書申請服務，降低 HTTPS 的應用門檻和使用成本，讓開發者能快速接入微信小程序等服務。首先，先讓我們看看 HTTP 與 HTTPS 的對比，逐一解開您的謎團。

二、為什么要接入 HTTPS—HTTP 的安全風險

前面我們已經說到了HTTP 協議是一個非常簡單和高效的協議，互聯網大部分的主流應用默認都是使用的HTTP。由于性能和上個世紀 90 年代使用環境的限制，HTTP 協議本身并不是一個為了安全設計的協議，既沒有身份認證，也沒有一致性檢驗，最頭疼的是，HTTP 所有的內容都是明文傳輸的。

顯然，HTTP 和人們生活及經濟利益密切相關，遺憾的是，它不安全。也就意味著這里一 定潛藏著巨大的安全隱患。這些隱患又集中表現在如下兩方面：

1、隱私泄露

由于 HTTP 本身是明文傳輸，用戶和服務端之間的傳輸內容都能被中間者查看。也就是說 你在網上搜索、購物、訪問的網點、點擊的頁面等信息，都可以被「中間人」獲取。由于國人大多不太重視隱私的保護，這里的風險比較隱性，傷害后果也不太好定量評估。已知的一些比較嚴重的隱私泄露事件包括：

1、QQ 登陸態被不法分子竊取，然后在異地登陸，進行廣告和欺詐行為。

2、用戶手機號和身份信息泄露。

3、用戶網上行為泄露。比如搜索了一所醫院，很快就會有人打電話進行推廣(非效果廣告)。

2、頁面劫持

隱私泄露的風險比較隱蔽，用戶基本感知不到。但另外一類劫持的影響就非常明顯非常直接了——頁面劫持，也就是直接篡改用戶的瀏覽頁面。有很多頁面劫持很簡單粗暴，直接插入第三方廣告或者運營商的流量提示信息。

但也有一些劫持做得比較隱蔽，比如下面的京東頁面劫持：其中上圖是使用 HTTP 方面的頁面，頂部箭頭所示的地方出現了一個購物推薦，很逼真，就像京東或者瀏覽器官方的工具。

但換成 HTTPS 訪問，就沒有這個工具頁面，顯然是被劫持了。

3、劫持路徑及分類

那劫持到底是如何產生的呢?從技術上來講比較簡單，在內容經過的地方進行監聽篡改就行了。但要想把整個劫持的產業鏈條摸清楚，需要深入黑產內部，比較困難。有一點可以肯定的是，劫持大部分都是在中間的網絡節點發生的，又叫「中間人」(MITM， man in the middle)。如下圖所示：

由于信息傳輸都需要經過上述的「中間人節點」，它們又擁有信息的讀寫權限，如果信息沒有加密，也沒有校驗，那么想要查看隱私，篡改頁面，對于「中間人」來說可謂是輕而易舉。

那劫持又有哪些主要的分類呢?根據劫持路徑劃分的話，主要是下圖所示的三類：

DNS 劫持，客戶端劫持和鏈路劫持。 根據我們的不完全統計，業務遇到的絕大部分劫持 (90%)都屬于鏈路劫持。