广播电视新闻网站HTTPS改造探讨

Posted 2021-03-29 勤学敏思

摘  要

本文主要以重庆网络广播电视台为例，探讨广播电视新闻网站如何进行全站HTTPS改造。介绍新闻网站HTTPS改造的必要性，分析全站部署HTTPS的痛点与难点，分享HTTPS改造过程中SSL数字证书的选型与管理，部署方式与步骤，以及HTTPS性能优化的实践经验，为国内新闻媒体网站全站部署HTTPS提供启示和参考。

关键词

广播电视，新闻网站，HTTPS部署，SSL数字证书，HTTP/2

  

0 引言

1 重庆网络广播电视台简介

重庆网络广播电视台的前身是视界网，视界网于2000年10月1日正式开通，是2000年经国务院新闻办批准的首批省级重点新闻网站。重庆网络广播电视台于2014年3月26日上线运行，是国家广电总局批准设立的“以宽带互联网、移动通信网等新兴信息网络为节目传播载体的新形态广播电视播出机构，是重庆市委市政府在新媒体领域的喉舌”。重庆网络广播电视台是重庆广电集团推进媒体融合发展的重要阵地，主要以域名cbg.cn对外提供新闻资讯与网络视听服务。

2 HTTPS改造的必要性

在重庆网络广播电视台完成HTTPS改造前，用户经常投诉网站的广告位、页面底部有异常广告、博彩和黄色网站链接等非法内容。虽然我们排查后明确是网络劫持问题，但是始终无法给出及时有效的解决方案，给用户的反馈和解释也总是显得苍白无力。

用户数据在浏览器和重庆网络广播电视台源站服务器中间传输必须要经过多个网络中间节点，比如WIFI、路由器、CDN节点、反向代理、WEB服务器等。在HTTP协议下，攻击者可以在以上任何一个环节实施网络劫持攻击，嗅探用户提交数据，窃取用户隐私，篡改网页内容，存在严重的安全隐患，网站除了收到用户投诉举报，还会接受安全主管部门的检查通报。

针对HTTP存在的问题，一些人认为只需要在登录和交互这些关键环节启用HTTPS，刚开始我们也会思考，是不是只要在关键环节部署HTTPS就行？答案是否定的。因为从效果上来看，没有达到保证网站传输过程安全的目的，JS、CSS、图片等静态文件依然有被劫持的可能性。为了彻底解决以上问题，网站必须全站采用HTTPS协议，才能够有效地进行防御。

目前HTTPS技术已经相当成熟。总体来讲，它具备内容加密、身份认证、数据完整性三个重要的特性，能够有效对抗数据在传输过程中的劫持行为。百度、阿里、腾讯等大型互联网公司网站，爱奇艺、优酷、腾讯等大型视频网站已率先完成全站HTTPS布局，网站全站部署HTTPS的普及率越来越高，用户接受度也越来越好。

重庆网络广播电视台以网站全新改版为重要契机，依托全新的融媒体技术架构和栏目内容设置，能够合理规划和配置域名，具备全站部署HTTPS的有利条件。网站全站启用HTTPS协议进行传输加密既是提高用户体验和增强信息安全的必然要求，也是网站业务持续向好发展的提前布局。

3 全站部署HTTPS的痛点与难点

全站部署HTTPS是一个系统性的工程，尤其对于大型网站来讲面临极大的挑战。除了需要投入较多的人力、财力资源，还要求网站自身具备较强的技术实力和长期的运维保障能力。

广播电视新闻网站同时具备政治性和新闻性，它既承担着党和政府的宣传任务，又为广大人民群众提供信息服务，对信息传输的安全性和网站运行的稳定性要求很高。一方面在广电行业任何内容和节目的篡改行为都可能带来严重的安全播出事故，另一方面全站部署HTTPS对大型网站来讲是“牵一发而动全身”的改造，部署过程中稍有缺失，就有可能造成网站运行不稳定。

相比普通图文网站和视频网站，广播电视新闻网站兼具图文内容和视听节目，内容展现形式更加丰富，页面模板更加多样化，给HTTPS部署带来更多工作量。尽管SSL加密技术较为成熟，但重庆网络广播电视台经过多年的运行已有上百万的静态页面，涉及两百余个二级域名，系统的复杂性增加了网站实现全站部署HTTPS的难度。

面对种种困难和挑战，重庆网络广播电视台坚持全站部署HTTPS，秉持安全性与稳定性并重的原则，对域名和栏目结构做了适当的调整，这样做虽然短期会牺牲一些用户点击量，但从长期来看反而能够强化网站的可信度，提升网站的访问流量。

4 SSL数字证书的选型与管理

重庆网络广播电视台选用的是OV企业级通配符证书，总体性价比较高，既能满足多种浏览器访问，保证良好的用户体验，又能满足后期新增同级域名下多个站点的需求，减少网站运营成本。需要注意的是通配符证书支持多个域名，但不支持多级域名。例如：通配符证书“*.cbg.cn”，可支持“a1.cbg.cn、a2.cbg.cn”等本级域名，但不支持“b.a.cbg.cn”等非本级域名，若需要支持上述域名，需要采购通配符证书“*.a.cbg.cn”。因此根据网站自身情况提前合理规划域名，能够有效减少证书采购成本。

目前市面上的证书品牌五花八门，一定要通过正规渠道找靠谱代理商采购知名品牌证书，使用的证书等级较低的，证书链不完整的话，会被浏览器当做非法站点。如果没有采购经验，建议通过阿里、腾讯等云服务商选购合适自己的数字证书。

5 HTTPS部署方式与步骤

通常情况下网站网络架构从用户端到服务端会经过多级设备设施，它们可能是CDN、安全设备、负载均衡、WEB服务器等。SSL数字证书需要部署在SSL的卸载设备上，不同应用场景和设备就有不同的部署方式。

重庆网络广播电视台业务相对复杂，业务需要经过互联网出口的防火墙等安全设备，大部分业务经过CDN分发，一些业务直接回源。部分业务经过硬件负载均衡，部分业务经过LVS软件负载均衡。因此我们将证书同时部署到WEB服务器、负载均衡、安全设备、CDN以满足各种业务场景需求。

全站部署HTTPS需要较长的周期，总体分为两个步骤，第一阶段将所有域名配置为支持HTTP和HTTPS两种协议，让用户可以通过两种协议访问网站。第二阶段对HTTPS协议可用性开展长期验证测试，当网站所有服务及访问速度均达到要求后，对域名做HTTP强制跳转HTTPS协议，实现全站HTTPS访问。

6 HTTPS性能优化

全站HTTPS必然会导致额外的资源开销，存在降低安全设备性能、增加服务器CPU资源消耗、延长访问时长等问题，但随着服务器、浏览器以及SSL库在性能上的大幅提升，经过良好优化后HTTPS带来的损耗是完全可以接受的。

重庆网络广播电视台的优化主要从HTTP/2入手，HTTP/2通过引入二进制分帧层，将HTTP的请求和响应报文拆分为二进制帧，从而实现多路复用、优先级、Server Push 等诸多新特性，能够有效提升WEB性能。部署HTTPS后建议开启HTTP/2，能够带给用户更好的性能体验，图1展示了通过HTTP/1.1和HTTP/2首次渲染的时间，可以明显看到HTTP/2在响应速度方面的优势。（数据来源：Google浏览器访问https://http2.akamai.com/demo。）

图1 HTTP/1.1与HTTP/2渲染时间对比

7 结束语

全站部署HTTPS并没有想像中困难和可怕，通过合理规划、充分论证和技术优化的HTTPS改造既能确保良好的用户体验，又能提高网站信息安全。目前学习强国学习平台、央视网等官方媒体网站已实现全站HTTPS访问，虽然人民网、新华网等主流新闻媒体网站还没有全站部署HTTPS，但是随着国家对安全越来越重视，国内网站全站部署HTTPS已是大势所趋，甚至有可能成为行业主管部门的强制要求。重庆网络广播电视台顺利完成全站部署HTTPS，对国内新闻媒体网站，尤其是重庆本地的新闻媒体网站全站部署HTTPS具有积极的推动作用和较好的借鉴意义。

 

 

参考文献

[1] 王琼霄.PKI证书服务的安全增强技术[J].信息安全研究,2019,(1):50-58.

[2] 张静鹏.浅析HTTPS对高校图书馆安全能力的提升[J].农业图书情报,2019,(2):62-67.

[3] 吴阳波.基于nginx与Http2.0技术的web服务器性能优化研究[J].新余学院学报,2017,(4):6-8.

[4] 曹澄.基于SSL技术的CA安全认证技术的研究与实现[J].农业网络信息,2012,(12):1-4.