1. 什么是 HTTPS

HTTP 加上加密處理和認(rèn)證以及完整性保護(hù)后即是 HTTPS。

它是為了解決 HTTP 存在的安全性問(wèn)題，而衍生的協(xié)議，那使用 HTTP 的缺點(diǎn)有：

1.通信使用明文可能會(huì)被竊聽(tīng)

2.不驗(yàn)證通信方的身份可能遭遇偽裝

3.無(wú)法驗(yàn)證報(bào)文完整性，可能已遭篡改

HTTPS 并非是一種新協(xié)議，只是 HTTP 通信接口部分用 SSL 和 TLS 協(xié)議代替。通常，HTTP 是直接跟 TCP 通信，當(dāng)使用了 SSL 后，則變成先和 SSL 通信，再有 SSL 和 TCP 通信。簡(jiǎn)而言之，HTTPS 是身披 SSL 協(xié)議的這層外殼的 HTTP。

補(bǔ)充下，SSL 協(xié)議是獨(dú)立于 HTTP 的協(xié)議，所以運(yùn)行在應(yīng)用層的其他協(xié)議，如 Telnet、SMTP 均可以配合 SSL 協(xié)議使用，所以也說(shuō) SSL 協(xié)議是應(yīng)用最廣泛的網(wǎng)絡(luò)安全技術(shù)。

HTTPS 安全可靠，為啥不一致使用 HTTPS 呢？

1.與純文本通信相比，加密通信會(huì)消耗更多 CPU 和內(nèi)存資源。

2.購(gòu)買(mǎi)證書(shū)也是一筆不小的開(kāi)銷。

3.HTTPS 比 HTTP 要慢 2-100 倍。這是因?yàn)?SSL 慢，一種是通信慢，出去 TCP 連接、發(fā)送 HTTP 請(qǐng)求/響應(yīng)外，還必須有 SSL 通信，整體上通信量增加了。 另一種是，大量消耗 CPU 和內(nèi)存等資源，導(dǎo)致處理熟讀變慢，這是因?yàn)?SSL 必須進(jìn)行加密，通常使用 SSL 加速器來(lái)改善問(wèn)題，但實(shí)際上沒(méi)有根本性的解決方法。

下面一起看下 HTTPS 請(qǐng)求的全過(guò)程詳解。

2. 安全通信機(jī)制

1.流程圖

2.?

3.?

安全通信機(jī)制流程詳解：

1.客戶端發(fā)送 https 請(qǐng)求，把自身支持的秘鑰算法套件（SSL 指定版本、加密組件列表）發(fā)送給服務(wù)器

2.服務(wù)器判斷自身是否支持該算法套件，如果支持則返回證書(shū)信息(本質(zhì)為公鑰，包含了證書(shū)頒發(fā)機(jī)構(gòu)，網(wǎng)址，過(guò)期時(shí)間等) ，否則斷開(kāi)連接，

3.客戶端解析證書(shū)(通過(guò) TLS 協(xié)議來(lái)完成)，驗(yàn)證證書(shū)是否有效。如果異常，則會(huì)提示是否安裝證書(shū)，常見(jiàn)的就是瀏覽器搜索欄左側(cè)出現(xiàn)“X”告警按鈕等。

4.如果證書(shū)有效、或者是授信安裝證書(shū)后，開(kāi)始傳送加密信息(用證書(shū)加密后的隨機(jī)值，供加解密使用)

5.服務(wù)端通過(guò)私鑰解密加密信息，得到客戶端發(fā)送來(lái)的隨機(jī)值，然后把內(nèi)容通過(guò)該值進(jìn)行對(duì)稱加密。這樣一來(lái)，除非知道私鑰，否則是無(wú)法獲取加密內(nèi)容的。

6.服務(wù)端返回加密后的內(nèi)容

7.客戶端通過(guò)前面提到的隨機(jī)值對(duì)加密信息進(jìn)行解密

3. 證書(shū)驗(yàn)證過(guò)程

SSL 證書(shū)中包含的具體內(nèi)容有證書(shū)的頒發(fā)機(jī)構(gòu)、有效期、公鑰、證書(shū)持有者、簽名，通過(guò)第三方的校驗(yàn)保證了身份的合法

1.檢驗(yàn)基本信息：首先瀏覽器讀取證書(shū)中的證書(shū)所有者、有效期等信息進(jìn)行一一校驗(yàn)

2.校驗(yàn) CA 機(jī)構(gòu)：瀏覽器開(kāi)始查找操作系統(tǒng)中已內(nèi)置的受信任的證書(shū)發(fā)布機(jī)構(gòu) CA，與服務(wù)器發(fā)來(lái)的證書(shū)中的頒發(fā)者 CA 比對(duì)，用于校驗(yàn)證書(shū)是否為合法機(jī)構(gòu)頒發(fā)；如果找不到，瀏覽器就會(huì)報(bào)錯(cuò)，說(shuō)明服務(wù)器發(fā)來(lái)的證書(shū)是不可信任的。

3.解密證書(shū)：如果找到，那么瀏覽器就會(huì)從操作系統(tǒng)中取出 頒發(fā)者 CA 的公鑰，然后對(duì)服務(wù)器發(fā)來(lái)的證書(shū)里面的簽名進(jìn)行解密

4.比對(duì) hash 值：瀏覽器使用相同的 hash 算法計(jì)算出服務(wù)器發(fā)來(lái)的證書(shū)的 hash 值，將這個(gè)計(jì)算的 hash 值與證書(shū)中簽名做對(duì)比

5.對(duì)比結(jié)果一致，則證明服務(wù)器發(fā)來(lái)的證書(shū)合法，沒(méi)有被冒充

6.此時(shí)瀏覽器就可以讀取證書(shū)中的公鑰，用于后續(xù)加密了

4. 擴(kuò)展：CA 證書(shū)

CA 是證書(shū)頒發(fā)機(jī)構(gòu)的簡(jiǎn)稱，它會(huì)給自己簽發(fā)一個(gè)根證書(shū) Root CA，并且 CA 會(huì)通過(guò)根證書(shū)來(lái)簽發(fā)中間證書(shū)，授權(quán)中間證書(shū)頒發(fā)機(jī)構(gòu)簽發(fā)證書(shū)的權(quán)限，最后由中間證書(shū)頒發(fā)機(jī)構(gòu)向用戶簽發(fā)用戶證書(shū)。之所以多一層中間證書(shū)是為了保護(hù)根證書(shū)，減少根證書(shū)被攻擊或者被破解的風(fēng)險(xiǎn)。當(dāng)然中間證書(shū)可能不止一個(gè)。因此通常用戶收到的證書(shū)是 3 個(gè)：根證書(shū)、中間證書(shū)、用戶證書(shū)。事實(shí)上，申請(qǐng)到的證書(shū)只是用戶證書(shū)，其他 2 個(gè)很早就被簽發(fā)了。

瀏覽器為何新任 CA 證書(shū)呢？

因?yàn)?CA 是被 WebTrust 信任的第三方組織，且只有通過(guò) WebTrust 國(guó)際安全審計(jì)認(rèn)證的證書(shū)頒發(fā)機(jī)構(gòu) CA，其簽發(fā)的證書(shū)才會(huì)被各大瀏覽器信任。根證書(shū)庫(kù)包含瀏覽器信任的證書(shū)頒發(fā)機(jī)構(gòu) CA 的根證書(shū)，有的瀏覽器會(huì)自建根證書(shū)庫(kù)，比如 Mozilla Firefox，有的瀏覽器會(huì)使用其他瀏覽器的根證書(shū)庫(kù)。

瀏覽器如何校驗(yàn)證書(shū)合法性呢？

由于用戶證書(shū)被中間證書(shū)信任，而中間證書(shū)被根證書(shū)信任，根證書(shū)又被瀏覽器信任，這樣一個(gè)完整的證書(shū)鏈?zhǔn)沟脼g覽器可以在根證書(shū)庫(kù)內(nèi)一次檢索用戶證書(shū)、中間證書(shū)和根證書(shū)，如果能匹配到根證書(shū)，那么這一信任鏈上的所有證書(shū)都是合法的。

5. 擴(kuò)展：openssl 生成證書(shū)

以生成 CA 根證書(shū)為例：

#1.準(zhǔn)備ca配置文件，得到ca.conf
vimca.conf

#2.生成ca秘鑰，得到ca.key
opensslgenrsa-outca.key4096

#3.生成ca證書(shū)簽發(fā)請(qǐng)求，得到ca.csr
opensslreq
-new
-sha256
-outca.csr
-keyca.key
-configca.conf

#4.生成ca根證書(shū)，得到ca.crt
opensslx509
-req
-days3650
-inca.csr
-signkeyca.key
-outca.crt

6.總結(jié)

至此一篇文章讀懂了 Https 協(xié)議全過(guò)程，最后匯總下 https 的知識(shí)點(diǎn)。

1.HTTP 加上加密處理和認(rèn)證以及完整性保護(hù)后是 HTTPS。

2.HTTPS 是身披 SSL 外殼的 HTTP

3.相互校驗(yàn)秘鑰的公開(kāi)秘鑰加密技術(shù)

4.證明公開(kāi)秘鑰正確性的證書(shū)

京東云發(fā)免費(fèi)SSL證書(shū)啦?。?！

TrustAsiaDV單域名90天0元！快速頒發(fā)，經(jīng)濟(jì)實(shí)惠，保護(hù)網(wǎng)站數(shù)據(jù)安全，適合個(gè)人/企業(yè)網(wǎng)站及建站開(kāi)發(fā)測(cè)試使用。

審核編輯 黃宇