自2017年9月21日,微信发布一则《关于公众平台接口不再支持HTTP方式调用的公告》。明确表示,为保证数据传输安全,提高业务安全性,公众平台不再支持HTTP方式调用。应避免影响正常使用中含有HTTP方式调用的服务,开发者应尽快调整HTTP方式的切换成HTTPS调用。
根据微信小程序相关规定,小程序只需使用HTTPS,因此只需购买域名级证书即可
如果企业需要开发两个以上的小程序,可选择购买域名级通配符证书,降低证书成本支出。
如果企业已经有网站或者App使用了SSL证书,且为通配符或多域名型证书,只需新增一个保护域名即可,不需额外购买新的证书。
且微信小程序对于SSL证书有着明确的需求,具体如下:
安全要求:微信小程序在与服务器进行数据交换时,如果涉及到用户的敏感信息(如登录、支付等操作),则必须通过HTTPS协议来确保数据传输的安全性。这就要求服务器端部署有效的SSL证书,以实现TLS加密。
证书规范:
用于微信小程序的SSL证书需要满足以下条件:
证书必须是受信任的,即其根证书被操作系统或浏览器内置信任列表所包含。
证书的域名必须与小程序请求的服务器域名完全匹配。
证书必须处于有效期内。
证书的信任链需完整,即服务器配置应包括所有必要的中间证书。
IOS系统下,不支持自签名证书,并且要求符合苹果App Transport Security (ATS)的标准。
支持的TLS版本至少为1.2及以上,以兼容主流设备和平台。
小程序业务需求:
对于部分涉及认证服务的小程序或者需要调用微信官方API接口的小程序,微信可能会强制要求使用HTTPS,即使没有直接收集用户敏感信息。
因此,为了保证微信小程序能够正常运行并符合微信的安全策略,通常情况下开发者需要确保后端服务器已正确安装并配置了合规的SSL证书。
并且在小程序安装部署SSL证书后的作用也显而易见:
1. 保护用户数据安全和隐私:SSL证书可以确保用户在小程序中输入的数据不会被截获或窃取,从而保护用户的隐私和安全。
2. 防止恶意攻击:微信小程序强制使用SSL证书可以防止恶意攻击,保护用户数据的安全。如果没有使用SSL证书,攻击者就可以轻易地截取通信内容,获取用户数据或控制网站或应用程序。
3. 符合官方规定:微信官方小程序开发平台要求小程序所有网络请求都使用HTTPS,并且会对服务器域名使用的HTTPS进行校验。如果校验失败,则请求不能成功发起,这就意味着小程序必须部署安装SSL证书。
4. 提高业务安全性:使用SSL证书可以验证小程序的身份,并加密用户与小程序之间的通信,确保数据在传输过程中的安全。同时,部署SSL证书可以提高小程序被攻击的门槛,避免日后更大的损失。