我接下來分享的會更加技術化一點，站在運維的角度上，HTTPS我做一個簡單的介紹，其實對運維人員來講完全不需要介紹，就是為了保護我們客戶端到服務端之間傳輸數(shù)據(jù)的安全。我們傳統(tǒng)用的協(xié)議是HTTP的協(xié)議，HTTP這個協(xié)議發(fā)明到今天已經(jīng)差不多30多年時間了，當初設計HTTP協(xié)議的時候只是用來傳輸文本的，沒想到到了今天我們現(xiàn)在基于HTTP下面的應用太廣泛了，包含支付，包含一些金融的，都是跑在這個協(xié)議下。但是這個協(xié)議因為不安全，所以我們需要去增加它的安全性，所以出現(xiàn)了HTTPS這樣的協(xié)議。

傳統(tǒng)的很多互聯(lián)網(wǎng)企業(yè)都會用到HTTPS，會在他的服務器端部署S證書。這里面?zhèn)鹘y(tǒng)的運維過程當中就會碰到很多問題，很多企業(yè)可能買了非常多的S證書，證書跟域名是一樣的，每個證書會有有效期，跟我們注冊域名是一樣的道理，比如我買一年的兩年的，一年到期以后，你需要續(xù)費，或者兩年到期已經(jīng)你需要續(xù)費，對大型的互聯(lián)網(wǎng)公司來講他可能買的證書上千張的也有，我們拜訪過一些客戶，他們怎么做的，自己建Excel表，把購買過證書的信息自己手動填進去，到了每年續(xù)費到那個表看一看哪些要到期了。第二個密鑰，對管理存在的安全隱患，之前我們了解到很多企業(yè)都是把密鑰放在筆記本上，非常危險。第三個是網(wǎng)站上部署的HTTPS，我們用瀏覽器訪問的時候是可以正常訪問的，但是是不是代表了安全，不一定，能瀏覽器訪問不表示就是安全的。第四個問題，我們這個HTTPS它對客戶端的兼容性到底怎么樣，比如說是不是我只支持最新的瀏覽器可以訪問，我換一個稍微舊一點的訪問會不會出問題。對一般的企業(yè)來講，可能沒有關注那么多，所以我們這個問題也是非常嚴重的。第五個，性能的優(yōu)化方面，這個對于運維人員來講是非常關鍵的，如果我的服務器端，很野蠻的把它部署完了，HTTPS可以訪問了，但是HTTPS實際上是一個加密服務，它會對服務器端的CPU有消耗，如果我們不對它做優(yōu)化，有可能給企業(yè)造成非常大的損失。如果做了優(yōu)化，它可以幫企業(yè)做非常多的節(jié)省，這個時候比如對于我們運維人員來講，我怎么知道我的性能消耗是不是合理，我的優(yōu)化還有沒有更多的空間。最后一個是非常關鍵的，跟咱們今天的金牌運維有非常大的關系，我可不可以把這個做成自動化的，因為傳統(tǒng)的HTTPS，就像一個傳統(tǒng)的產(chǎn)品一樣，我把它買過來，我每年都在這簽一份合同，每年買一次，我到我的服務器上都需要人工去部署一次。但是現(xiàn)在全自動化的運維，可能從其他的角度來講，都是希望把能自動化的事情盡可能自動化，很少人工介入，這樣出現(xiàn)問題的概率才會降低。

實現(xiàn)HTTPS全生命周期管理，需要做到四點，第一個，對我的證書有一個合理的管理，確保證書本身每年的更新不會出任何問題。第二，需要對我的HTTPS進行一個深入的檢測，確保它的兼容性、安全性沒有任何問題。第三個是自動化的部署，也就是說我前面把證書的交付自動化了，我的部署可不可以做成自動化。最后一個是監(jiān)控，前面三塊可能做好了，但是我需要有一個狀態(tài)，實時能知道它會不會有問題，如果有問題，我能第一時間知道問題出在哪里，并且及時修復它。

說到生命周期，HTTPS里有個最關鍵的叫SSL證書，部署以后才能把HTTPS的協(xié)議跑起來。你需要用到SSL證書，以前傳統(tǒng)的可能就是通過Excel表把購買的所有證書管理起來，這樣肯定不行，非常容易出問題。這個時候就需要一個非常好的管理平，對你所有的SSL證書進行有效管理。有這樣的平臺能解決這個地方證書的申請、吊銷、重新頒發(fā)、到期提醒、證書更新，確保證書的生命周期是完整的。

密鑰的管理，現(xiàn)在在正常的運維過程當中都是我們把我們的公私鑰匙放在一塊，好的方案可以把自己的私鑰跟Web Server進行分離，哪怕是用一些金融的行業(yè)，也確保它的安全是絕對的。

現(xiàn)在看看自己的HTTPS是不是安全的，這里面就會存在幾個，第一，前面網(wǎng)易的張總也提到，openssl，我們的Web Server要跑HTTPS的話，基本上是基于openssl這個庫的，但是openssl近幾年它里面本身的漏洞也非常多，因為它本身就是一個開源的庫，可能很多企業(yè)都會用它。但是誰之前也沒有想過它里面其實也很多問題。第二個，SSL協(xié)議的版本問題，我們現(xiàn)在用HTTPS，其實它的協(xié)議的版本叫TLS，當前草案最新的是1.3，現(xiàn)在當前用的最高是1.2，SSL早期我們用的是2.0版本，后來到3.0版本，在這個版本當中，舊的一些版本也存在一些安全的缺陷。所以如果說服務器上用的正好是一個安全缺陷的，它也會來安全隱患。第三，SSL協(xié)議加密套件，它的HTTPS的協(xié)議實際上有一個密碼的套件組合完成的，有可能很多的運維人員把HTTPS配置起來跑起來了，但是它里面會用一些已經(jīng)不安全的密碼算法在里面，東莞電信服務器 河南電信服務器，這樣也會給自己的網(wǎng)站造成一些安全的威脅。第四個是證書鏈的完整性，我們配置的SSL證書實際上也一個證書鏈，如果證書鏈不完整的情況下就會導致一些問題，我可能拿PC去訪問這個網(wǎng)站，用HTTPS訪問是ok的，如果用安卓手機或者iPhone手機訪問的時候就不能訪問了，所以我們也把它定義在不安全里面。第五個是正向保密技術，這個也是我們HTTPS協(xié)議當中比較重要的一環(huán)。蘋果要求他的App和服務傳輸加密過程中是把正向保密技術作為標配放在他的HTTPS標準中的。第六個是ATS，ATS是蘋果公司提出來的安全標準，要求每一個App，App連接到服務端必須是HTTPS的來傳輸?shù)模抢锩嫣岬搅艘恍┌踩囊螅约禾崃艘粋€ATS的安全標準，里面會涉及到一些SSL的版本和增強保密技術。最后一個，PCI DSS，這是支付行業(yè)的HTTPS標準，做金融行業(yè)的，你想自己的網(wǎng)站可能會通過相關的一些金融的安全標準，去通過他們的審計，在PCI DSS里要求你的HTTPS也必須對那個標準是合規(guī)的。