自2017年9月21日,微信發布一則《關于公眾平臺接口不再支持HTTP方式調用的公告》。明確表示,為保證數據傳輸安全,提高業務安全性,公眾平臺不再支持HTTP方式調用。應避免影響正常使用中含有HTTP方式調用的服務,開發者應盡快調整HTTP方式的切換成HTTPS調用。
根據微信小程序相關規定,小程序只需使用HTTPS,因此只需購買域名級證書即可
如果企業需要開發兩個以上的小程序,可選擇購買域名級通配符證書,降低證書成本支出。
如果企業已經有網站或者App使用了SSL證書,且為通配符或多域名型證書,只需新增一個保護域名即可,不需額外購買新的證書。
且微信小程序對于SSL證書有著明確的需求,具體如下:
安全要求:微信小程序在與服務器進行數據交換時,如果涉及到用戶的敏感信息(如登錄、支付等操作),則必須通過HTTPS協議來確保數據傳輸的安全性。這就要求服務器端部署有效的SSL證書,以實現TLS加密。
證書規范:
用于微信小程序的SSL證書需要滿足以下條件:
證書必須是受信任的,即其根證書被操作系統或瀏覽器內置信任列表所包含。
證書的域名必須與小程序請求的服務器域名完全匹配。
證書必須處于有效期內。
證書的信任鏈需完整,即服務器配置應包括所有必要的中間證書。
IOS系統下,不支持自簽名證書,并且要求符合蘋果App Transport Security (ATS)的標準。
支持的TLS版本至少為1.2及以上,以兼容主流設備和平臺。
小程序業務需求:
對于部分涉及認證服務的小程序或者需要調用微信官方API接口的小程序,微信可能會強制要求使用HTTPS,即使沒有直接收集用戶敏感信息。
因此,為了保證微信小程序能夠正常運行并符合微信的安全策略,通常情況下開發者需要確保后端服務器已正確安裝并配置了合規的SSL證書。
并且在小程序安裝部署SSL證書后的作用也顯而易見:
1. 保護用戶數據安全和隱私:SSL證書可以確保用戶在小程序中輸入的數據不會被截獲或竊取,從而保護用戶的隱私和安全。
2. 防止惡意攻擊:微信小程序強制使用SSL證書可以防止惡意攻擊,保護用戶數據的安全。如果沒有使用SSL證書,攻擊者就可以輕易地截取通信內容,獲取用戶數據或控制網站或應用程序。
3. 符合官方規定:微信官方小程序開發平臺要求小程序所有網絡請求都使用HTTPS,并且會對服務器域名使用的HTTPS進行校驗。如果校驗失敗,則請求不能成功發起,這就意味著小程序必須部署安裝SSL證書。
4. 提高業務安全性:使用SSL證書可以驗證小程序的身份,并加密用戶與小程序之間的通信,確保數據在傳輸過程中的安全。同時,部署SSL證書可以提高小程序被攻擊的門檻,避免日后更大的損失。
