HTTPS

HTTPS是身披SSL外殼的HTTP。HTTPS是一種通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全通信的傳輸協(xié)議，經(jīng)由HTTP進(jìn)行通信，利用SSL/TLS建立全信道，加密數(shù)據(jù)包。HTTPS使用的主要目的是提供對網(wǎng)站服務(wù)器的身份認(rèn)證，同時(shí)保護(hù)交換數(shù)據(jù)的隱私與完整性。

PS:TLS是傳輸層加密協(xié)議，前身是SSL協(xié)議，由網(wǎng)景公司1995年發(fā)布，有時(shí)候兩者不區(qū)分。

（1）內(nèi)容加密

采用混合加密技術(shù)，中間者無法直接查看明文內(nèi)容

混合加密：結(jié)合非對稱加密和對稱加密技術(shù)。
客戶端使用對稱加密生成密鑰對傳輸數(shù)據(jù)進(jìn)行加密，然后使用非對稱加密的公鑰再對秘鑰進(jìn)行加密，所以網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是被秘鑰加密的密文和用公鑰加密后的秘密秘鑰，因此即使被黑客截取，由于沒有私鑰，無法獲取到加密明文的秘鑰，便無法獲取到明文數(shù)據(jù)。

（2）身份認(rèn)證

通過證書認(rèn)證客戶端訪問的是自己的服務(wù)器

• 申請受信任數(shù)字證書流程

  
  

  • 防偽標(biāo)簽——數(shù)字簽名

    
    

數(shù)字摘要：通過單向hash函數(shù)對原文進(jìn)行哈希，將需加密的明文“摘要”成一串固定長度(如128bit)的密文，不同的明文摘要成的密文其結(jié)果總是不相同，同樣的明文其摘要必定一致，并且即使知道了摘要也不能反推出明文。

數(shù)字簽名技術(shù)：數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上，是公鑰加密技術(shù)的另一類應(yīng)用。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來，形成了實(shí)用的數(shù)字簽名技術(shù)。

• 收方能夠證實(shí)發(fā)送方的真實(shí)身份；
• 發(fā)送方事后不能否認(rèn)所發(fā)送過的報(bào)文；
• 收方或非法者不能偽造、篡改報(bào)文

（3）數(shù)據(jù)完整性

防止傳輸?shù)膬?nèi)容被中間人冒充或者篡改

非對稱加密過程需要用到公鑰進(jìn)行加密，那么公鑰從何而來？其實(shí)公鑰就被包含在數(shù)字證書中，數(shù)字證書通常來說是由受信任的數(shù)字證書頒發(fā)機(jī)構(gòu)CA，在驗(yàn)證服務(wù)器身份后頒發(fā)，證書中包含了一個密鑰對（公鑰和私鑰）和所有者識別信息。數(shù)字證書被放到服務(wù)端，具有服務(wù)器身份驗(yàn)證和數(shù)據(jù)傳輸加密功能。

非對稱加密：
保險(xiǎn)箱有一個特別的鎖，這個鎖又兩種鑰匙：A和B，用鑰匙A鎖上后只能用B打開，反之亦然。
服務(wù)器有一把鑰匙A（私鑰），一把鑰匙B（公鑰）。此時(shí)有個客戶需要建立非對稱加密通訊，于是服務(wù)器配了一把鑰匙B后，把保險(xiǎn)箱和配的鑰匙B一起給了客戶，客戶把明文鎖進(jìn)保險(xiǎn)箱以后用鑰匙B鎖上然后發(fā)給服務(wù)器，服務(wù)器就可以用鑰匙A打開保險(xiǎn)箱拿出明文。這樣一來任何人都能自由的發(fā)送密文給服務(wù)器（鑰匙B要多少配多少），但只有服務(wù)器能解密密文（鑰匙A只有服務(wù)器留的一把，不會配一把給其他人）

證書如何簽字

詳情：https://blog.csdn.net/xiaoming100001/article/details/81109617
https://www.bilibili.com/video/BV1j7411H7vV?from=search&seid=15514404902914799643