全站HTTPS没你想象的那么简单，电商网站兼顾安全与性能的踩坑小结！(6)

HTTPS 方案之灰度上线篇

灰度上线可遵循灰度、降级和开闭三大原则。灰度原则是指整个上线过程要按区域、版本、用户等级来进行灰度，通过灰度收集上来的用户数据来决定整个计划的进行。

降级原则保证每一步的操作都是可逆可回滚的，即对扩展开放，对修改关闭，这是可复用设计的基石。

01、HTTPS 开关控制

HTTPS 开关控制方面，苏宁主要建设内容管理、CDN、客户端三大开关：

• 内容管理开关。内容管理开关的作用是保证所有运营维护的链接都可以被替换。

• CDN 开关。每个页面，从 HTTP 到 HTTPS 都需要做 301 跳转，这些跳转都配置在 CDN 中。

• 客户端开关。就是移动加速 SDK 的开关。

02、上线过程中遇到的新问题

做完开关控制，在正式上线的过程中，又遇到了一些新问题如：Referrer、DNS 劫持、HTTPS 性能监控等。

Referrer

目前大部分浏览器，在发生协议降级时默认不发送 Referrer 信息，最典型的场景就是从 HTTPS 页面点链接跳到 HTTP 网站时，浏览器并不会在请求头中带上 Referer 字段。当 Referrer 带不过去，对大数据的影响非常大，因为没办法追溯流量来源。

针对现代的浏览器，这个问题可以通过给页面加上下面这个 meta 标签来解决：

<meta name="referrer" content="always" />

DNS 劫持

DNS 劫持是指非法破坏域名的解析过程导致请求被解析到一个错误节点以达到某些恶意目的。当我们使用 HTTP时，DNS 异常可能还不会影响请求的功能性，但 HTTPS 因为非法节点没有证书和私钥，肯定是无法响应了。