自2017年9月21日,微信發(fā)布一則《關于公眾平臺接口不再支持HTTP方式調用的公告》。明確表示,為保證數(shù)據(jù)傳輸安全,提高業(yè)務安全性,公眾平臺不再支持HTTP方式調用。應避免影響正常使用中含有HTTP方式調用的服務,開發(fā)者應盡快調整HTTP方式的切換成HTTPS調用。
根據(jù)微信小程序相關規(guī)定,小程序只需使用HTTPS,因此只需購買域名級證書即可
如果企業(yè)需要開發(fā)兩個以上的小程序,可選擇購買域名級通配符證書,降低證書成本支出。
如果企業(yè)已經有網站或者App使用了SSL證書,且為通配符或多域名型證書,只需新增一個保護域名即可,不需額外購買新的證書。
且微信小程序對于SSL證書有著明確的需求,具體如下:
安全要求:微信小程序在與服務器進行數(shù)據(jù)交換時,如果涉及到用戶的敏感信息(如登錄、支付等操作),則必須通過HTTPS協(xié)議來確保數(shù)據(jù)傳輸?shù)陌踩浴_@就要求服務器端部署有效的SSL證書,以實現(xiàn)TLS加密。
證書規(guī)范:
用于微信小程序的SSL證書需要滿足以下條件:
證書必須是受信任的,即其根證書被操作系統(tǒng)或瀏覽器內置信任列表所包含。
證書的域名必須與小程序請求的服務器域名完全匹配。
證書必須處于有效期內。
證書的信任鏈需完整,即服務器配置應包括所有必要的中間證書。
IOS系統(tǒng)下,不支持自簽名證書,并且要求符合蘋果App Transport Security (ATS)的標準。
支持的TLS版本至少為1.2及以上,以兼容主流設備和平臺。
小程序業(yè)務需求:
對于部分涉及認證服務的小程序或者需要調用微信官方API接口的小程序,微信可能會強制要求使用HTTPS,即使沒有直接收集用戶敏感信息。
因此,為了保證微信小程序能夠正常運行并符合微信的安全策略,通常情況下開發(fā)者需要確保后端服務器已正確安裝并配置了合規(guī)的SSL證書。
并且在小程序安裝部署SSL證書后的作用也顯而易見:
1. 保護用戶數(shù)據(jù)安全和隱私:SSL證書可以確保用戶在小程序中輸入的數(shù)據(jù)不會被截獲或竊取,從而保護用戶的隱私和安全。
2. 防止惡意攻擊:微信小程序強制使用SSL證書可以防止惡意攻擊,保護用戶數(shù)據(jù)的安全。如果沒有使用SSL證書,攻擊者就可以輕易地截取通信內容,獲取用戶數(shù)據(jù)或控制網站或應用程序。
3. 符合官方規(guī)定:微信官方小程序開發(fā)平臺要求小程序所有網絡請求都使用HTTPS,并且會對服務器域名使用的HTTPS進行校驗。如果校驗失敗,則請求不能成功發(fā)起,這就意味著小程序必須部署安裝SSL證書。
4. 提高業(yè)務安全性:使用SSL證書可以驗證小程序的身份,并加密用戶與小程序之間的通信,確保數(shù)據(jù)在傳輸過程中的安全。同時,部署SSL證書可以提高小程序被攻擊的門檻,避免日后更大的損失。
