一 我們先來了解下，HTTP存在的問題，HTTP 主要有這些不足：

1、無狀態(tài)，每個請求結束后都會被關閉，每次的請求都是獨立的；服務器中沒有保存客戶端的狀態(tài)，客戶端必須每次帶上自己的狀態(tài)去請求服務器

2、通信使用明文（不加密），內(nèi)容可能會被竊聽

3、不驗證通信方的身份，因此有可能遭遇偽裝

4、無法證明報文的完整性，所以有可能已遭篡改

二 HTTPS在HTTP基礎上增加了哪些內(nèi)容呢？

HTTPS = HTTP+ 加密 （ssl加密通信線路）+ 認證（ca證書驗證） + 完整性保護（混合加密）

HTTPS 并非是應用層的一種新協(xié)議。只是 HTTP 通信接口部分用SSL（Secure Socket Layer）和 TLS（Transport Layer Security）協(xié)議代替而已。通常，HTTP 直接和 TCP 通信。當使用 SSL 時，則演變成先和 SSL 通信，再由 SSL 和 TCP 通信了。簡言之，所謂 HTTPS，其實就是身披SSL 協(xié)議這層外殼的 HTTP。

image.png

三 我們來了解一下加密的方式

1 對稱加密（共享密鑰方式）：

加密和解密同用一個密鑰的方式；以對稱密鑰方式加密時必須將密鑰也發(fā)給對方?？删烤乖鯓硬拍馨踩剞D交？
在互聯(lián)網(wǎng)上轉發(fā)密鑰時，如果通信被監(jiān)聽那么密鑰就可會落入攻擊者之手，同時也就失去了加密的意義。另外還得設法安全地保管接收到的密鑰。

2 非對稱加密（公開密鑰加密方式）：

公開密鑰加密使用一對非對稱的密鑰。一把叫做私有密鑰（private key），另一把叫做公開密鑰（public key）；
使用非對稱加密加式，發(fā)送密文的一方使用對方的公開密鑰進行加密處理，對方收到被加密的信息后，再使用自己的私有密鑰進行解密。

例如客戶需發(fā)送銀行卡密碼，最開始由銀行服務端發(fā)送自己的公開密鑰給客戶端，客戶端通過該公開密鑰加密，再把密文發(fā)送給服務端，服務端用自己的私鑰解密

四 HTTPS的加密方式--混合加密

HTTPS 采用對稱加密和非對稱加密兩者并用的混合加密機制。若密鑰能夠實現(xiàn)安全交換，那么有可能會考慮僅使用 非對稱密鑰加密來通信。但是非對稱密鑰加密與對稱加密相比，其處理速度要慢。所以應充分利用兩者各自的優(yōu)勢，將多種方法組合起來用于通信。在交換密鑰環(huán)節(jié)使用公開密鑰加密方式，之后的建立通信交換報文階段則使用共享密鑰加密方式

存在的問題
非對稱加密方式還是存在一些問題的。那就是無法證明公開密鑰本身就是貨真價實的公開密鑰。為了解決上述問題，可以使用由數(shù)字證書認證機構（CA，CertificateAuthority）和其相關機關頒發(fā)的公開密鑰證書。

CA驗證過程：
服務器的運營人員向數(shù)字證書認證機構提出公開密鑰的申請。數(shù)字證書認證機構在判明提出申請者的身份之后，會對已申請的公開密鑰做數(shù)字簽名，然后分配這個已簽名的公開密鑰，并將該公開密鑰放入公鑰證書后綁定在一起。服務器會將這份由數(shù)字證書認證機構頒發(fā)的公鑰證書 發(fā)送給客戶端，以進行公開密鑰加密方式通信。公鑰證書也可叫做數(shù)字證書或直接稱為證書。
接到證書的客戶端可使用數(shù)字證書認證機構的公開密鑰（事先已植入到瀏覽器里），對那張證書上的數(shù)字簽名進行驗證，一旦驗證通過，客戶端便可明確兩件事：一，認證服務器的公開密鑰的是真實有效的數(shù)字證書認證機構。二，服務器的公開密鑰是值得信賴的。此處認證機關的公開密鑰必須安全地轉交給客戶端

五 總結：

HTTPS解決的問題：
1 信任主機的問題
采用HTTPS的server 必須從CA （數(shù)字證書認證機構處于客戶端與服務器雙方都可信賴的第三方機構的立場上）申請一個用于證明服務器用途類型的證書，該證書里包含CA的簽名和服務器的公開密鑰，服務器會將公鑰證書發(fā)送給客戶端，以進行非對稱加密方式通信。客戶端可使用數(shù)字證書認證機構的公開密鑰，對那張證書上的數(shù)字簽名進行驗證，客戶端才能知道訪問的服務器是安全的。目前基本所有的在線購物和網(wǎng)銀等網(wǎng)站或系統(tǒng),關鍵部分應用都是HTTPS的，客戶通過信任該證書,從而信任了該主機，這樣才能保證安全。

2 通訊過程中的數(shù)據(jù)的泄密和被竄改
使用HTTPS 協(xié)議，HTTPS 采用非對稱加密和對稱加密兩者并用的混合加密機制。若密鑰能夠實現(xiàn)安全交換，那么有可能會考慮僅使用非對稱加密來通信。但是非對稱加密與對稱加密相比，其處理速度要慢。所以應充分利用兩者各自的優(yōu)勢，將多種方法組合起來用于通信。在交換密鑰環(huán)節(jié)使用非對稱加密方式，之后的建立通信交換報文階段則使用對稱加密方式

《http圖解》