企业邮个性域名https证书接入和安全

茵语

1、背景
越来越多的公司开始重视数据安全问题，由HTTP+SSL协议构建可进行加密传输、身份认证的网络协议，HTTPS在安全性上远超HTTP，谨防数据在传输过程中被窃取、纂改，能确保数据的完整性，进一步加强、保障企业信息交流沟通的安全性，一般被用于电商支付系统、银行、金融、政府、可言、搜索等高私密性的网站，Google、Facebook等众多大型互联网公司均已宣布支持全站HTTPS，2017年1月1日，苹果对Apple Store里所有应用APP部署HTTPS。
然而作为被广泛应用于Web浏览器和网站服务器传输数据的http协议存在网页劫持、钓鱼网页等引起用户不能正常使用甚至引起重要数据泄露的问题。
https加密访问，需要有对应域名的证书，之前用户用https去访问自定义域名，但由于缺少域名的证书，导致只能通过http去访问，存在严重的安全性问题。因此腾讯企业邮率先提出了一套新的解决方案来实现个性域名https访问企业邮的方案。

2、为什么要使用HTTPS
数据的保密性（使用加密算法对通信数据进行加密，保护用户数据，不让他人知道通信数据）；
数据的完整性（传统的HTTP协议数据包很同意被纂改，比如在国内最常见的运营商恶意流量劫持，插入广告等，使用HTTPS可以校验数据包的完整性，被纂改的数据包会拒收）；
身份验证（HTTPS可以确保数据包被正确的送到指定的接收方，而不是第三方）。

3、HTTPS原理
HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议，它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层（SSL）进行信息交换，简单来说它是HTTP的安全版，是使用TLS/SSL加密的HTTP协议。HTTP协议采用明文传输信息，存在信息窃听、信息纂改和信息劫持的风险，而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能，可以避免此类问题。

4、证书安全性
近期国际知名的厂商发生泄露用户密钥，cookie等安全事件。腾讯企业邮为此提供一套安全保护措施来保证证书安全，接下来列举一些增强证书安全性的工作：
（1）系统初始化的时候把证书加载到内存，证书由专门证书管理服务提供。
（2）验证上传的证书公钥和私钥的合法性，对证书在上传的时候会检查证书公钥与私钥是否匹配、证书域是否是当前域名匹配、证书是否被吊销、证书链是否合法、证书加密算法时候为老算法等。
（3）限制只支持知名证书提供商，杜绝中小证书提供商可能的证书风险。
（4）收缩证书管理权限，仅允许指定的访问。
（5）证书加密存储，保障证书存储的安全和稳定。
（6）定时检查现有证书的合法性，已过期的证书不再加载。

总结：
腾讯汽油提供了一套新的解决方案实现个性域名的https接入和访问，弥补了https证书在部署和存储上的不足。在用户使用企邮服务时，并不会有额外的速度延迟、增大问题，在安全性上，为避免私钥泄露，也做了大量的保障，用户可以放心的使用个性域名https方式访问腾讯企业邮。目前已有近500个域名接入了企邮https个性域名。