一.簡(jiǎn)介

在說(shuō)HTTPS之前先說(shuō)說(shuō)什么是HTTP，HTTP就是我們平時(shí)瀏覽網(wǎng)頁(yè)時(shí)候使用的一種協(xié)議。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文的，因此使用HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸，于是網(wǎng)景公司設(shè)計(jì)了SSL（Secure Sockets Layer）協(xié)議用于對(duì)HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而就誕生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定義在RFC 6101中，之后IETF對(duì)SSL 3.0進(jìn)行了升級(jí)，于是出現(xiàn)了TLS（Transport Layer Security） 1.0，定義在RFC 2246。實(shí)際上我們現(xiàn)在的HTTPS都是用的TLS協(xié)議，但是由于SSL出現(xiàn)的時(shí)間比較早，并且依舊被現(xiàn)在瀏覽器所支持，因此SSL依然是HTTPS的代名詞，但無(wú)論是TLS還是SSL都是上個(gè)世紀(jì)的事情，SSL最后一個(gè)版本是3.0，今后TLS將會(huì)繼承SSL優(yōu)良血統(tǒng)繼續(xù)為我們進(jìn)行加密服務(wù)。

二.在基于服務(wù)器采用https通訊時(shí)候,客戶端通過(guò)獲取服務(wù)器的證書,進(jìn)行一系列驗(yàn)證

CA證書

CA（Certificate Authority）是負(fù)責(zé)管理和簽發(fā)證書的第三方權(quán)威機(jī)構(gòu)，是所有行業(yè)和公眾都信任的、認(rèn)可的。

CA證書，就是CA頒發(fā)的證書，可用于驗(yàn)證網(wǎng)站是否可信（針對(duì)HTTPS）、驗(yàn)證某文件是否可信（是否被篡改）等，也可以用一個(gè)證書來(lái)證明另一個(gè)證書是真實(shí)可信，最頂級(jí)的證書稱為根證書。除了根證書（自己證明自己是可靠），其它證書都要依靠上一級(jí)的證書，來(lái)證明自己。

HTTP三次握手

HTTP（HyperText Transfer Protocol)超文本傳輸協(xié)議是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。由于信息是明文傳輸，所以被認(rèn)為是不安全的。而關(guān)于HTTP的三次握手，其實(shí)就是使用三次TCP握手確認(rèn)建立一個(gè)HTTP連接。

如下圖所示，SYN（synchronous）是TCP/IP建立連接時(shí)使用的握手信號(hào)、Sequence number（序列號(hào)）、Acknowledge number（確認(rèn)號(hào)碼），三個(gè)箭頭指向就代表三次握手，完成三次握手，客戶端與服務(wù)器開(kāi)始傳送數(shù)據(jù)。

第一次握手：客戶端發(fā)送syn包(syn=j)到服務(wù)器，并進(jìn)入SYN_SEND狀態(tài)，等待服務(wù)器確認(rèn)；

第二次握手：服務(wù)器收到syn包，必須確認(rèn)客戶的SYN（ack=j+1），同時(shí)自己也發(fā)送一個(gè)SYN包（syn=k），即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài)；

第三次握手：客戶端收到服務(wù)器的SYN＋ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1)，此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手。

HTTPS握手過(guò)程

HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。具體是如何進(jìn)行加密，解密，驗(yàn)證的，且看下圖，下面的稱為一次握手。

1. 客戶端發(fā)起HTTPS請(qǐng)求

2. 服務(wù)端的配置

采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書，可以是自己制作或者CA證書。區(qū)別就是自己頒發(fā)的證書需要客戶端驗(yàn)證通過(guò)，才可以繼續(xù)訪問(wèn)，而使用CA證書則不會(huì)彈出提示頁(yè)面。這套證書其實(shí)就是一對(duì)公鑰和私鑰。公鑰給別人加密使用，私鑰給自己解密使用。

3. 傳送證書

這個(gè)證書其實(shí)就是公鑰，只是包含了很多信息，如證書的頒發(fā)機(jī)構(gòu)，過(guò)期時(shí)間等。

4. 客戶端解析證書

這部分工作是有客戶端的TLS來(lái)完成的，首先會(huì)驗(yàn)證公鑰是否有效，比如頒發(fā)機(jī)構(gòu)，過(guò)期時(shí)間等，如果發(fā)現(xiàn)異常，則會(huì)彈出一個(gè)警告框，提示證書存在問(wèn)題。如果證書沒(méi)有問(wèn)題，那么就生成一個(gè)隨即值，然后用證書對(duì)該隨機(jī)值進(jìn)行加密。

5. 傳送加密信息

這部分傳送的是用證書加密后的隨機(jī)值，目的就是讓服務(wù)端得到這個(gè)隨機(jī)值，以后客戶端和服務(wù)端的通信就可以通過(guò)這個(gè)隨機(jī)值來(lái)進(jìn)行加密解密了。

6. 服務(wù)段解密信息

服務(wù)端用私鑰解密后，得到了客戶端傳過(guò)來(lái)的隨機(jī)值(私鑰)，然后把內(nèi)容通過(guò)該值進(jìn)行對(duì)稱加密。所謂對(duì)稱加密就是，將信息和私鑰通過(guò)某種算法混合在一起，這樣除非知道私鑰，不然無(wú)法獲取內(nèi)容，而正好客戶端和服務(wù)端都知道這個(gè)私鑰，所以只要加密算法夠彪悍，私鑰夠復(fù)雜，數(shù)據(jù)就夠安全。

7. 傳輸加密后的信息

這部分信息是服務(wù)段用私鑰加密后的信息，可以在客戶端被還原。

8. 客戶端解密信息

客戶端用之前生成的私鑰解密服務(wù)段傳過(guò)來(lái)的信息，于是獲取了解密后的內(nèi)容。

PS: 整個(gè)握手過(guò)程第三方即使監(jiān)聽(tīng)到了數(shù)據(jù)，也束手無(wú)策。

總結(jié)

為什么HTTPS是安全的？

在HTTPS握手的第四步中，如果站點(diǎn)的證書是不受信任的，會(huì)顯示出現(xiàn)下面確認(rèn)界面，確認(rèn)了網(wǎng)站的真實(shí)性。另外第六和八步，使用客戶端私鑰加密解密，保證了數(shù)據(jù)傳輸?shù)陌踩?/p>

HTTPS和HTTP的區(qū)別

1. https協(xié)議需要到ca申請(qǐng)證書或自制證書。

2. http的信息是明文傳輸，https則是具有安全性的ssl加密。

3. http是直接與TCP進(jìn)行數(shù)據(jù)傳輸，而https是經(jīng)過(guò)一層SSL（OSI表示層），用的端口也不一樣，前者是80（需要國(guó)內(nèi)備案），后者是443。

4. http的連接很簡(jiǎn)單，是無(wú)狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

在此感謝各位讀者的來(lái)訪,您的關(guān)注是我寫作分享的最大動(dòng)力。