下圖為https通訊步驟(圖片來自于limboy的博客)

HTTPS通訊步驟

至此，你如果已經理解上述內容，表示你已經差不多掌握https的通訊流程以及為什么https比http安全的原因。但是你如果細心一點會發(fā)現(xiàn)上面介紹的概念里面還有一個 證書 沒有用到，那么證書到底有什么用呢？你如果仔細推敲上面的HTTPS通訊步驟，你會發(fā)現(xiàn)在第2步服務端將自己的公鑰發(fā)送給客戶端時候會產生問題，我們假設客戶端和服務器通訊的過程中出現(xiàn)以下場景：

1. 客戶端和服務端建立連接，但是被一個黑客進行了攔截，黑客有自己的公鑰和私鑰
2. 客戶端和黑客進行了連接并且交換了密鑰，黑客和服務端進行了連接并且交換了密鑰
3. 客戶端向黑客發(fā)送了自己用戶名和密碼
4. 黑客解密后獲得了用戶名密碼，然后再向服務端發(fā)送用戶密碼
5. 服務端校驗了用戶密碼是對的，然后向黑客發(fā)送了客戶的所有敏感數(shù)據(jù)
6. 黑客獲得了用戶的敏感數(shù)據(jù)，然后再向客戶端發(fā)送了所有數(shù)據(jù)

以上場景中，客戶端以為連接的是服務端，服務端以為連接的是客戶端，兩個人數(shù)據(jù)發(fā)來發(fā)去玩的的不亦樂乎，而黑客作為一個中間人已經獲得了所有的數(shù)據(jù)，這就是所謂的** 中間人攻擊 。那該怎么辦？怎么防止這種中間人攻擊呢？證書**就用來防止這種事情發(fā)生的。

我們在HTTPS通訊步驟的第3步中，對公鑰進行了校驗，這個校驗過程就用到了證書。如果校驗不通過則會出現(xiàn)異?；蛘邚棾鼍?，我們著名的12306火車票網站就是因為公鑰不被信任導致瀏覽器彈出警告，如下圖：

證書不信任

剛剛上面說到，服務端需要有公鑰和私鑰來進行加解密，那么這個公鑰和私鑰是哪里來的呢？當然你可以創(chuàng)建自己的公鑰和私鑰，這樣一來就完了，大家都可以創(chuàng)建，那瀏覽器該信任誰的公鑰？這樣也不行。

這個時候我們需要共同推舉幾個大家都認可且相信的認證機構，這個機構叫證書認證中心，也叫CA（Certificate Authority）。
全球知名的CA也就100多個，這些CA都是全球都認可的，比如VeriSign、GlobalSign等，國內知名的CA有WoSign。

那么CA又是怎么對公鑰進行認證的呢？

CA自己也有一套公鑰和私鑰，CA會用自己的私鑰對你的公鑰進行非對稱加密，再加上證書的過期時間、頒發(fā)給、頒發(fā)者等信息，就組成了數(shù)字證書，然后將加密后的公鑰發(fā)給你，你配置到自己的服務器上。

不論什么平臺，設備的操作系統(tǒng)中都會內置100多個全球公認的這些CA的公鑰。所以HTTPS通訊步驟現(xiàn)在變成了如下：

HTTPS通訊步驟(重點)

1. 客戶端和服務端建立連接
2. 服務端將自己的公鑰發(fā)送給客戶端
3. 客戶端嘗試用自己系統(tǒng)內置的所有CA的公鑰對服務端發(fā)過來的公鑰進行解密，如果所有CA的公鑰都無法解密的話，說明服務端發(fā)過來的證書是不被信任的，彈出警告
4. 客戶端嘗如果用自己內置的某個CA公鑰對服務端發(fā)過來的公鑰進行解密成功，說明服務端發(fā)過來的證書是正常的，然后對服務端的證書進行有效期、機構信息等進行驗證，如果驗證不通過(如：過期)，則彈出警告
5. 客戶端驗證通過，隨機生成一個堆成密鑰
6. 客戶端將隨機生成的堆成密鑰使用服務器發(fā)送過來的公鑰進行加密
7. 客戶端將加密后的公鑰密文發(fā)送給服務端
8. 服務端收到客戶端發(fā)過來的密文
9. 服務端使用自己是私鑰將發(fā)過來的密文進行解密，獲得對稱密鑰
10. 服務端使用對稱密鑰加密要發(fā)送的數(shù)據(jù)成密文并發(fā)送給客戶端
11. 客戶端使用對稱密鑰解密服務端發(fā)送過來的密文獲得明文
12. 客戶端使用對稱密鑰加密要發(fā)送的數(shù)據(jù)成密文并發(fā)送給服務端
13. 服務端使用對稱密鑰解密客戶端發(fā)送過來的密文獲得明文
14. 重復步驟10-13進行各種通訊

經過上述證書驗證步驟，則能夠避免黑客進行中間人攻擊，所以你要做的就是向CA購買一個證書，然后根據(jù)自己所使用的技術類型在服務端進行配置好證書即可使用https進行訪問。

-----end-----
轉載請保留我博客地址 http://blog.itbiu.com/2017/03/09/201703091