深入浅出 HTTPS:从原理到实战
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

序2

20年前,没人会想到人类会在互联网上建立如此庞大的业务生态。从衣食住行到教育金融,每个领域都经历着巨大的网络变革。随着物联网和大数据技术的兴起,目前还没有看到这一变革的尽头。支撑互联网变革的技术基础中,HTTP是最为重要的应用层协议。

早期以信息发布为主的Web 1.0时代,HTTP已可以满足绝大部分需要。证书费用、服务器的计算资源都比较昂贵,作为HTTP安全扩展的HTTPS,通常只应用在登录、交易等少数环境中。但随着越来越多的重要业务往线上转移,网站对用户隐私和安全性也越来越重视。对于防止恶意监听、中间人攻击、恶意劫持篡改,HTTPS是目前较为可行的方案,全站HTTPS逐渐成为主流网站的选择。

微博已经在2017年实现了全站HTTPS。国外巨头Google除自身已经全站实现HTTPS外,也已经在Chrome浏览器中对使用HTTP协议的网站在地址栏显示“不安全”标签,同时也对HTTP网站在搜索引擎中降低了权重。考虑到Google的浏览器和搜索引擎的市场份额,全站HTTPS将是所有网站比较迫切的需求。

从技术角度上看,HTTP/2作为新一代的协议,虽然协议文本中并未强制要求加密,但主流的浏览器(Firefox、Chrome、Safari、Opera、IE、Edge)已共同宣布,它们只支持实现基于TLS的HTTP/2,也就是说加密将是下一代协议的强制事实标准。

和HTTP/HTTPS取得的巨大成功相比,它们可供参考的书籍显得非常匮乏。目前只有少量HTTP及HTTP/2书籍,大都定位于初学者,对专业开发和运维人员的需求照顾有限。相对于语言及框架类图书动辄半个书架的阵势,HTTP/HTTPS的资源实在太少了。

新浪邮箱作为国内历史悠久的邮箱,对于用户安全协议的实践,应该说获得了很多的经验。我的同事虞卫东,长期从事新浪博客、新浪邮箱等Web技术研发,对于HTTPS理论和实践颇有心得。在本书中,他系统地介绍了大量的基础理论知识,如CRL校验、OCSP模型、TLS协议等,并兼顾了如Wireshark在TLS/SSL协议中的使用、自动化测试HTTPS网站等实操。相信用心阅读本书的读者,一定可以从中深入了解他在这一领域的领悟。

微博技术团队也乐于和广大开发人员分享微博在HTTPS实践中的心得,欢迎大家关注@微博平台架构@微博技术学院 了解后续相关公开技术活动。

微博研发副总经理 杨卫华