分析整個(gè)系統(tǒng)制定計(jì)劃，有計(jì)劃才能沒變化。其實(shí)也沒什么要做的，只有一件事，你接下來要做的唯一一件事就是了解整個(gè)系統(tǒng)。統(tǒng)計(jì)出所有已用到的域名，需要購(gòu)買什么類型域名證書，是二級(jí)域名、三級(jí)域名還是各種亂七八糟的域名，自己分析;再然后，了解每個(gè)域名背后的服務(wù)是如何運(yùn)作的，這里邊會(huì)涉及到前端頁(yè)面、一些資源文件的固定協(xié)議引用，后端代碼中關(guān)于協(xié)議獲取是寫死的還是動(dòng)態(tài)的，數(shù)據(jù)庫(kù)中存儲(chǔ)的網(wǎng)址鏈接等等，這些統(tǒng)統(tǒng)要考慮到。

 

分析完系統(tǒng)后，其中肯定會(huì)存在混合協(xié)議訪問請(qǐng)求，HTTPS 下瀏覽器會(huì)攔截掉所有 HTTP 請(qǐng)求的，不同頁(yè)面間跳轉(zhuǎn)、不同服務(wù)域名間跳轉(zhuǎn)如果是以固定的 HTTP 協(xié)議寫死的，要支持全站 HTTPS 協(xié)議，首要解決的是以當(dāng)前協(xié)議來靈活的區(qū)分不同域名服務(wù)間的跳轉(zhuǎn)。其次，HTTPS 協(xié)議首次請(qǐng)求存在多次握手，因此網(wǎng)絡(luò)耗時(shí)變長(zhǎng)問題，可能會(huì)影響系統(tǒng)訪問速度。所以，我是建議計(jì)劃分為兩個(gè)階段來進(jìn)行全站 HTTPS 升級(jí)：

 

一階段：將目前所有域名配置為支持 HTTP 和 HTTPS 兩種協(xié)議，不做 HTTP 請(qǐng)求強(qiáng)制 HTTPS 跳轉(zhuǎn)。在驗(yàn)證及測(cè)試完成 HTTPS 下，系統(tǒng)所有服務(wù)以及訪問速度均無問題后，進(jìn)行實(shí)施二階段計(jì)劃。

 

二階段：在上階段不強(qiáng)制 HTTPS 訪問驗(yàn)證通過后，域名做強(qiáng)制 HTTPS 協(xié)議。即當(dāng)用戶以 HTTP 協(xié)議訪問系統(tǒng)時(shí)， 如用 Nginx 做強(qiáng)制 301 跳轉(zhuǎn)到 HTTPS 協(xié)議，做到全站 HTTPS 安全訪問協(xié)議。

 

不出意外，按照這兩步計(jì)劃，應(yīng)該可以穩(wěn)妥是進(jìn)行全站 HTTPS 升級(jí)工作，當(dāng)然，期間不可避免的會(huì)踩一些坑，因?yàn)槊總€(gè)公司業(yè)務(wù)不同、系統(tǒng)環(huán)境不同等原因，都會(huì)遇到不可預(yù)估的問題，一個(gè)個(gè)解決就行了。我下面會(huì)寫一下升級(jí)期間共性的、也就是每個(gè)人都必須要踩的坑和如何解決這些問題。