无法获得用户定位信息的解决办法和建立HTTPS的方法

无法获得用户定位信息的原因

近期很多开发者提问这个问题：为什么以前可以获得用户定位信息的方法，现在不管用了。

究其原因，是定位信息提供商（比如百度地图）不再支持在HTTP协议下返回这类敏感信息，而是要求必须在HTTPS协议下才会返回。这在一些返回详细错误原因的情况下，已有明确提示。

再看下相关消息：

随着国内搜索引擎巨头百度启用全站https加密服务来解决“第三方”对用户隐私的嗅探和劫持，全国掀起了网站https加密浪潮。谷歌作为推动网站https加密的先驱，早在2010年5月份便开始提供https加密搜索服务。谷歌在算法更新中则表示：“同等条件下，使用https加密技术的站点在搜索排名上更具优势”。

很显然，相关的知名厂商们都在通过各种方法促使站长们转向采用HTTPS协议。

推行HTTPS的原因

为什么呢？ 其实原因很多。

HTTPS与HTTP的区别及其优势

http：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准(TCP)，用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效，使网络传输减少。

https：是以安全为目标的http通道，简单讲是http的安全版。https的安全基础是ssl证书，因此加密的详细内容就需要ssl证书。https协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

http协议传输的数据都是未加密的，也就是明文的，而且无状态，因此使用http协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输，于是网景公司设计了SSL(安全套接层，Secure Sockets Layer)协议用于对http协议传输的数据进行加密，从而就诞生了https，https就是由ssl+http协议构建的可进行加密传输、身份认证的网络协议。

HTTP工作过程

　　https加密、解密、及验证过程如下图：



简单来说，https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

SSL的作用

认证用户和服务器，确保数据发送到正确的客户机和服务器;

加密数据以防止数据中途被窃取;

维护数据的完整性，确保数据在传输过程中不被改变。

SSL证书指的是在SSL通信中验证通信双方身份的数字文件，一般分为服务器证书和客户端证书，我们通常说的SSL证书主要指服务器SSL证书。SSL证书由受信任的数字证书颁发机构CA在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。分为扩展验证型EV SSL证书、组织验证型OV SSL证书、和域名验证型DV SSL证书。

在网上进行购物交易活动中，必须保证交易双方能够互相确认身份，安全地传输敏感信息，事后不能否认交易行为，同时还要防止他人截获篡改宝贵信息或假冒交易方。那么，我们该如何提高站点信息的安全性呢?目前最简单的解决方案就是利用ssl安全技术来实现WEB的安全访问。

HTTP和HTTPS使用上的差异

从表面使用上来说，除了HTTP和HTTPS使用了不同的默认端口之外（http是80端口，https是443端口），其它没什么额外变化，开发者为HTTP开发的大部分应用，原封不动即可在HTTPS上使用。HTTPS只是在底层的传输上自己去做了与HTTP不同的事情。当然，如果你的应用指定了端口的话，要记得改成HTTPS所指定的端口（你也可以把80端口让给HTTPS，彻底干掉HTTP）。

如何转到HTTPS协议

HTTPS协议需要先到CA机构申请SSL证书。SSL证书分免费和高级两种：

免费SSL证书：诸如个人博客之类的小型站点可以申领3年期的免费SSL证书，证书到期后可以免费续期。支持绑定多个域名、支持证书状态在线查询协议(OCSP)、支持中文、全球浏览器信任。

高级别SSL证书：大中型网站，如网上银行、购物网站、金融证券、政府机构等需要申领高级别SSL证书，并需要一定费用。

SSL证书申请使用步骤

制作CSR文件。

所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENssl命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

CA认证。

将CSR提交给CA，CA一般有2种认证方式：

域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称，不适用于高级别SSL证书的申请;

企业文档认证：需要提供企业的营业执照。

同时认证以上两种方式的证书，叫EV SSL证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以认证也最严格，适于大中型网站采用。

证书安装。

在收到CA的证书后，可以将证书部署到服务器上。

APACHE服务器：直接将KEY+CER复制到APACHE文件上，然后修改httpD.CONF文件;

TOMCAT等：需要将CA签发的证书CER文件导入JKS文件后，复制到服务器上，然后修改SERVER.XML;

IIS：需要处理挂起的请求，将CER文件导入。

原因总结

HTTPS可以通过加密防止在传输中间的第三方截获HTTP明文，以减少对网站与用户双方产生不安全因素。

可以确认网站和用户双方的身份，保证获取信息或进行交易时的可靠性。

对网站进行备案式的管理，便于找到负责人。

对大中型网站来说，可以减少钓鱼网站的冒充干扰，同时也是一种身份式的广告。

对服务提供商来说，既可以解决用户和网站们的抱怨，又可以搜集掌握大量信息，还可以收入一笔服务费用。

对下级产业链来说，增加了一项营收业务。

所以呢，于是HTTPS自然也就是“大势所趋”了。各位，你可以懒惰不管明文与否，但架不住各种服务提供商的“拒绝服务”的催逼吧？比如，获取用户定位信息是不是就不行了？和WINXP用户被四方催逼的情况与原因何其相似？

So,move,move. 该领免费的，还是让单位掏钱或自掏腰包的，走起吧。