1. 什么是 HTTPS

HTTP 加上加密處理和認證以及完整性保護后即是 HTTPS。

它是為了解決 HTTP 存在的安全性問題，而衍生的協(xié)議，那使用 HTTP 的缺點有：

1.通信使用明文可能會被竊聽

2.不驗證通信方的身份可能遭遇偽裝

3.無法驗證報文完整性，可能已遭篡改

HTTPS 并非是一種新協(xié)議，只是 HTTP 通信接口部分用 SSL 和 TLS 協(xié)議代替。通常，HTTP 是直接跟 TCP 通信，當使用了 SSL 后，則變成先和 SSL 通信，再有 SSL 和 TCP 通信。簡而言之，HTTPS 是身披 SSL 協(xié)議的這層外殼的 HTTP。

補充下，SSL 協(xié)議是獨立于 HTTP 的協(xié)議，所以運行在應用層的其他協(xié)議，如 Telnet、SMTP 均可以配合 SSL 協(xié)議使用，所以也說 SSL 協(xié)議是應用最廣泛的網(wǎng)絡安全技術。

HTTPS 安全可靠，為啥不一致使用 HTTPS 呢？

1.與純文本通信相比，加密通信會消耗更多 CPU 和內(nèi)存資源。

2.購買證書也是一筆不小的開銷。

3.HTTPS 比 HTTP 要慢 2-100 倍。這是因為 SSL 慢，一種是通信慢，出去 TCP 連接、發(fā)送 HTTP 請求/響應外，還必須有 SSL 通信，整體上通信量增加了。 另一種是，大量消耗 CPU 和內(nèi)存等資源，導致處理熟讀變慢，這是因為 SSL 必須進行加密，通常使用 SSL 加速器來改善問題，但實際上沒有根本性的解決方法。

下面一起看下 HTTPS 請求的全過程詳解。

2. 安全通信機制

1.流程圖

2.?

3.?

安全通信機制流程詳解：

1.客戶端發(fā)送 https 請求，把自身支持的秘鑰算法套件（SSL 指定版本、加密組件列表）發(fā)送給服務器

2.服務器判斷自身是否支持該算法套件，如果支持則返回證書信息(本質(zhì)為公鑰，包含了證書頒發(fā)機構，網(wǎng)址，過期時間等) ，否則斷開連接，

3.客戶端解析證書(通過 TLS 協(xié)議來完成)，驗證證書是否有效。如果異常，則會提示是否安裝證書，常見的就是瀏覽器搜索欄左側出現(xiàn)“X”告警按鈕等。

4.如果證書有效、或者是授信安裝證書后，開始傳送加密信息(用證書加密后的隨機值，供加解密使用)

5.服務端通過私鑰解密加密信息，得到客戶端發(fā)送來的隨機值，然后把內(nèi)容通過該值進行對稱加密。這樣一來，除非知道私鑰，否則是無法獲取加密內(nèi)容的。

6.服務端返回加密后的內(nèi)容

7.客戶端通過前面提到的隨機值對加密信息進行解密

3. 證書驗證過程

SSL 證書中包含的具體內(nèi)容有證書的頒發(fā)機構、有效期、公鑰、證書持有者、簽名，通過第三方的校驗保證了身份的合法

1.檢驗基本信息：首先瀏覽器讀取證書中的證書所有者、有效期等信息進行一一校驗

2.校驗 CA 機構：瀏覽器開始查找操作系統(tǒng)中已內(nèi)置的受信任的證書發(fā)布機構 CA，與服務器發(fā)來的證書中的頒發(fā)者 CA 比對，用于校驗證書是否為合法機構頒發(fā)；如果找不到，瀏覽器就會報錯，說明服務器發(fā)來的證書是不可信任的。

3.解密證書：如果找到，那么瀏覽器就會從操作系統(tǒng)中取出 頒發(fā)者 CA 的公鑰，然后對服務器發(fā)來的證書里面的簽名進行解密

4.比對 hash 值：瀏覽器使用相同的 hash 算法計算出服務器發(fā)來的證書的 hash 值，將這個計算的 hash 值與證書中簽名做對比

5.對比結果一致，則證明服務器發(fā)來的證書合法，沒有被冒充

6.此時瀏覽器就可以讀取證書中的公鑰，用于后續(xù)加密了

4. 擴展：CA 證書

CA 是證書頒發(fā)機構的簡稱，它會給自己簽發(fā)一個根證書 Root CA，并且 CA 會通過根證書來簽發(fā)中間證書，授權中間證書頒發(fā)機構簽發(fā)證書的權限，最后由中間證書頒發(fā)機構向用戶簽發(fā)用戶證書。之所以多一層中間證書是為了保護根證書，減少根證書被攻擊或者被破解的風險。當然中間證書可能不止一個。因此通常用戶收到的證書是 3 個：根證書、中間證書、用戶證書。事實上，申請到的證書只是用戶證書，其他 2 個很早就被簽發(fā)了。

瀏覽器為何新任 CA 證書呢？

因為 CA 是被 WebTrust 信任的第三方組織，且只有通過 WebTrust 國際安全審計認證的證書頒發(fā)機構 CA，其簽發(fā)的證書才會被各大瀏覽器信任。根證書庫包含瀏覽器信任的證書頒發(fā)機構 CA 的根證書，有的瀏覽器會自建根證書庫，比如 Mozilla Firefox，有的瀏覽器會使用其他瀏覽器的根證書庫。

瀏覽器如何校驗證書合法性呢？

由于用戶證書被中間證書信任，而中間證書被根證書信任，根證書又被瀏覽器信任，這樣一個完整的證書鏈使得瀏覽器可以在根證書庫內(nèi)一次檢索用戶證書、中間證書和根證書，如果能匹配到根證書，那么這一信任鏈上的所有證書都是合法的。

5. 擴展：openssl 生成證書

以生成 CA 根證書為例：

#1.準備ca配置文件，得到ca.conf
vimca.conf

#2.生成ca秘鑰，得到ca.key
opensslgenrsa-outca.key4096

#3.生成ca證書簽發(fā)請求，得到ca.csr
opensslreq
-new
-sha256
-outca.csr
-keyca.key
-configca.conf

#4.生成ca根證書，得到ca.crt
opensslx509
-req
-days3650
-inca.csr
-signkeyca.key
-outca.crt

6.總結

至此一篇文章讀懂了 Https 協(xié)議全過程，最后匯總下 https 的知識點。

1.HTTP 加上加密處理和認證以及完整性保護后是 HTTPS。

2.HTTPS 是身披 SSL 外殼的 HTTP

3.相互校驗秘鑰的公開秘鑰加密技術

4.證明公開秘鑰正確性的證書

京東云發(fā)免費SSL證書啦！！！

TrustAsiaDV單域名90天0元！快速頒發(fā)，經(jīng)濟實惠，保護網(wǎng)站數(shù)據(jù)安全，適合個人/企業(yè)網(wǎng)站及建站開發(fā)測試使用。

審核編輯 黃宇