http升级https最佳实践分享

在大中型企业的信息化建设中，有多种不同类型的运营系统和各种后台接口服务，为业务部门来提供数字化管理。使用方需要通过域名访问各类系统，系统之间又通过域名来实现数据传输，作为内部网络访问的系统，一般使用HTTP协议，对外系统由于在公网访问，需要优先考虑系统的安全性，大部分都会升级至HTTPS协议。

图-1 HTTP与HTTPS

在常用的浏览器中，如谷歌的Chrome浏览器在近几年的版本中默认使用了更安全的HTTPS协议，这就导致了长期使用Chrome浏览器访问HTTP系统的用户，由于不理解浏览器方面的特性，误认为是系统本身出了问题，进而产生了许多系统不可用的投诉。

图-2 HTTPS请HTTP系统的错误提示

一、HTTP与HTTPS协议区别

图-3 HTTP与HTTP区别

二、HTTP协议升级到HTTPS协议步骤

• 获取SSL证书：从SSL证书颁发机构（CA）获取SSL证书。如测试环境可用选择自签名证书，生产环境需要购买经过验证的证书。
• 安装SSL证书：将获取到的SSL证书安装到WEB服务器上，具体安装步骤可能会因不同的WEB服务器类型会有所差异。
• 配置WEB服务器：修改WEB服务器的配置文件，启用HTTPS协议并配置SSL证书和私钥的路径, 例如Apache、Nginx等不同的Web服务器具体配置方法也有所不同。
• 重定向HTTP请求：确保所有访问都通过HTTPS进行，需要配置一个重定向规则，将所有HTTP重定向到HTTPS，防止用户在浏览器地址栏中输入HTTP地址而导致安全问题。
• 更新网站链接：修改网站页面中包含的图片、样式表、脚本等资源的链接地址和页面中的内部和外部链接，确保所有链接都使用HTTPS协议。
• 更新网站地图和搜索引擎：如提交了网站地图给搜索引擎的网站，确保更新网站地图中的URL和搜索引擎中的索引，以避免搜索出现重复索引或搜索排名下降的情况。
• 测试和监控：在升级HTTPS后要对系统进行全面测试验证，确保HTTPS配置正确，要实时监控系统的安全性和性能，出现问题时要及时解决。

• 场景A：一个域名对应多个后台子服务。

• 场景B：多个域名对应一个后台子服务。

• 场景C：多个域名之间存在交叉的引用调用。

• 阶段一：优先梳理需要升级HTTPS的所有域名，进行统一集中系统化管理，根据不同的业务场景分别制定合理的升级方案。

• 阶段二：对于不符合域名定义标准的域名需要重新申请新的域名，维护好新域名和旧域名之间的映射关系，调用协议、环境、内网/外网、启动状态等。

  

  图-4 域名属性明细管理

• 阶段三：测试环境的域名改造对HTTP协议与HTTPS协议双支持，对于不符合规范的域名进行调整成为新的域名（涉及到了新旧域名的关系）。测试环境的代码改造，包括了前后端分离系统（如同域名调用和后端的系统接口调用）、单语言的后端系统（如JSP、PHP）、后端接口服务（内部调用、外部调用）等，要做到测试环境修改并部署，验证通过。
• 阶段四：生产环境的域名改造对HTTP和HTTPS协议双支持，同阶段三，包括了对于不合规域名进行新域名替换，生产环境依赖的代码改造，生产环境部署与验证通过。
• 阶段五：测试环境仅支持HTTPS，测试环境与HTTP升级至HTTPS前保持一致。
• 阶段六：生产环境仅支持HTTPS，生产环境与HTTP升级至HTTPS前保持一致。

在升级HTTPS过程中，HTTPS协议对性能的影响也是需要考虑的，主要包括以下几个方面：

• 请求延迟增加：由于需要进行加密和解密操作，需要额外的计算资源和时间资源，这也使HTTPS请求的响应时间通常会比HTTP请求更长。
• 带宽消耗增加：在传输过程中，HTTPS使用SSL/TLS协议进行加密传输增加加数据的大小，会占用更多的带宽，从而可能降低整体的网络吞吐量。
• 服务器负载增加：由于HTTPS的加密和解密操作，服务器需要更多的CPU资源来处理这些任务，在高并发的场景下可能导致服务器的性能下降。
• 证书验证开销：HTTPS在客户端验证服务器证书是否有效的过程，包括了证书链验证、签名验证等步骤，会增加额外的请求延迟。
• 握手过程开销：HTTPS建立连接时需要进行一次握手的过程，包括了密钥交换、证书验证等步骤，握手过程的时间开销也会影响性能。