抓住小程序红利 HTTPS必不可少

字号：大中小

　　微信小程序有多火？看看自其上线后媒体连篇累牍的各类报道、解读，看看百度指数这几天的蹿升就能略知一二。

抓住小程序红利 HTTPS必不可少

　　那么，为什么小程序这么火？一方面，微信用户想了解小程序能为自己的生活带来哪些便利；另一方面，要从2012年说起。。。

　　2012年08月23日，微信公众平台正式上线，先入者们赶上了红利期，大多赚得盆满钵满，而后来者们还在苦苦拼搏。。。

　　是的，众多在互联网行业打拼的从业者、开发者们，再也不想错失微信小程序的创富机遇，纷纷摩拳擦掌，准备开发自己的小程序。但和公众号不同的是，作为一种应用程序，安全是小程序的基础，甚至可说是第一要务。为此，腾讯官方强制要求小程序使用HTTPS连接。那么，HTTPS是什么？HTTPS如何保障小程序的安全使用？开发者又该如何为小程序配置HTTPS？

　　HTTPS保障小程序使用安全

　　在PC互联网时代，我们从网络上下载程序使用。但部分程序被植入了木马或后门，电脑一旦安装即会“中招”。而小程序是基于H5网页技术开发的，在线即可使用，无需安装，但却存在其他安全威胁。长期以来，网络上的通信都通过HTTP协议传输，由于未经加密，所以风险极高。举个例子，在使用一款信息查询小程序时，当你将个人信息提交后，如果这些信息通过HTTP协议传输到服务器端，那么信息很可能在传输中被第三方截获。更糟糕的是，HTTP协议无法验证程序服务器的真实性。设想如果有人在微信群中传播仿冒的“钓鱼”小程序，后果不堪设想。

　　那么，HTTPS是什么？简单点说，HTTPS是HTTP的安全版，是在HTTP的基础上加入SSL证书（服务器证书）后形成的安全协议。https协议不仅可以建立信息加密通道来保证数据传输安全，还能认证服务器的真实性，预防“钓鱼”网站。正是基于通信加密和身份验证的安全需求，每个微信小程序必须事先设置一个通讯域名，该域名应是经过认证的合法域名，并通过HTTPS请求进行网络通信，不满足条件的域名和协议无法发出请求，小程序也就无法被使用。

　　如何选择合适的SSL证书

　　既然HTTPS=HTTP+SSL证书，那么选择一张合适的SSL证书就显得至关重要。而对于SSL证书的选择，以下建议可供开发者参考：

　　首先是证书类型，目前SSL证书主要分DV域名型、OV组织型、EV增强型三种。DV证书没有身份认证的功能，不推荐使用；EV证书的安全级别最高，且能显示绿色地址栏和认证名称，但价格较高。而且小程序并不显示地址栏，所以EV证书的优势不能充分体现；OV证书功能完善、成本较低，目前来看是最适合开发者的一种SSL证书；如果你有多个甚至N多个小程序，一张张的购买证书费时费力且成本太高，所以可以选择多域名OV证书，用一张证书保护多个小程序通讯域名。

　　其次是看证书支持度，证书需要支持所有操作系统和浏览器，特别是安卓和IOS，毕竟目前绝大多数手机都在用这两个系统。如果你选用的证书不支持以上两个系统，也就不能获得HTTPS和域名认证。

　　最后是选对证书签发机构，SSL证书是由第三方数字证书管理机构（简称CA）签发的，在CA的选择上，需要注意以下几点：

　　应通过媒体等渠道了解CA的风险控制能力。因为如果CA的风控水平不高，就有可能出现错发证书并被操作系统、浏览器厂商惩罚的情况。而如果你正好在用出事CA的证书，恐怕就得换掉了。

　　申请SSL证书需要开发者向CA提供身份证明资料供审核。小程序着急上线，可证书审批缓慢，那将是一件让人头疼的事。在这方面，国内CA具有较大优势，效率高的一两个工作日就能审核签发OV证书。

　　SSL证书是按数量和年限收费的，如果有多个小程序，即使是OV证书，每年的证书费也是一笔不小的开销。你可以多关注下各CA的营销活动，因为有时能以极低的成本获得证书。例如中国金融认证中心（CFCA）近期就在向企业、开发者提供SSL证书免费试用、买一赠一等活动，并能全程协助开发者完成证书部署。CFCA SSL证书是目前唯一能支持所有操作系统和浏览器的国产证书，其在证书价格、技术支持等方面比国外证书更为本土化。你可以在小程序测试阶段先向CFCA申请免费试用证书，等程序上线后再申请付费证书。

抓住小程序红利 HTTPS必不可少

　　小程序的红利期转瞬即逝，开发者们要抓紧时间，撸起袖子加油干。但与此同时，不要忽视安全的重要性，在程序开发前期就应着手解决HTTPS的问题，避免因此延误小程序的上线使用。

　　如果您希望了解更多与SSL证书相关的信息，请拨打010-59798680或登录ssl.cfca.com.cn查询。　　