我們知道，HTTP請(qǐng)求都是明文傳輸?shù)?，所謂的明文指的是沒(méi)有經(jīng)過(guò)加密的信息，如果HTTP請(qǐng)求被黑客攔截，并且里面含有銀行卡密碼等敏感數(shù)據(jù)的話(huà)，會(huì)非常危險(xiǎn)。為了解決這個(gè)問(wèn)題，Netscape 公司制定了HTTPS協(xié)議，HTTPS可以將數(shù)據(jù)加密傳輸，也就是傳輸?shù)氖敲芪?，即便黑客在傳輸過(guò)程中攔截到數(shù)據(jù)也無(wú)法破譯，這就保證了網(wǎng)絡(luò)通信的安全。

密碼學(xué)基礎(chǔ)

在正式講解HTTPS協(xié)議之前，我們首先要知道一些密碼學(xué)的知識(shí)。

明文： 明文指的是未被加密過(guò)的原始數(shù)據(jù)。

密文：明文被某種加密算法加密之后，會(huì)變成密文，從而確保原始數(shù)據(jù)的安全。密文也可以被解密，得到原始的明文。

密鑰：密鑰是一種參數(shù)，它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)。密鑰分為對(duì)稱(chēng)密鑰與非對(duì)稱(chēng)密鑰，分別應(yīng)用在對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密上。

對(duì)稱(chēng)加密：對(duì)稱(chēng)加密又叫做私鑰加密，即信息的發(fā)送方和接收方使用同一個(gè)密鑰去加密和解密數(shù)據(jù)。對(duì)稱(chēng)加密的特點(diǎn)是算法公開(kāi)、加密和解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，常見(jiàn)的對(duì)稱(chēng)加密算法有DES、3DES、TDEA、Blowfish、RC5和IDEA。

其加密過(guò)程如下：明文 + 加密算法 + 私鑰 => 密文

解密過(guò)程如下：密文 + 解密算法 + 私鑰 => 明文

對(duì)稱(chēng)加密中用到的密鑰叫做私鑰，私鑰表示個(gè)人私有的密鑰，即該密鑰不能被泄露。

其加密過(guò)程中的私鑰與解密過(guò)程中用到的私鑰是同一個(gè)密鑰，這也是稱(chēng)加密之所以稱(chēng)之為“對(duì)稱(chēng)”的原因。由于對(duì)稱(chēng)加密的算法是公開(kāi)的，所以一旦私鑰被泄露，那么密文就很容易被破解，所以對(duì)稱(chēng)加密的缺點(diǎn)是密鑰安全管理困難。

非對(duì)稱(chēng)加密：非對(duì)稱(chēng)加密也叫做公鑰加密。非對(duì)稱(chēng)加密與對(duì)稱(chēng)加密相比，其安全性更好。對(duì)稱(chēng)加密的通信雙方使用相同的密鑰，如果一方的密鑰遭泄露，那么整個(gè)通信就會(huì)被破解。而非對(duì)稱(chēng)加密使用一對(duì)密鑰，即公鑰和私鑰，且二者成對(duì)出現(xiàn)。私鑰被自己保存，不能對(duì)外泄露。公鑰指的是公共的密鑰，任何人都可以獲得該密鑰。用公鑰或私鑰中的任何一個(gè)進(jìn)行加密，用另一個(gè)進(jìn)行解密。

被公鑰加密過(guò)的密文只能被私鑰解密，過(guò)程如下：

明文 + 加密算法 + 公鑰 => 密文， 密文 + 解密算法 + 私鑰 => 明文

被私鑰加密過(guò)的密文只能被公鑰解密，過(guò)程如下：

明文 + 加密算法 + 私鑰 => 密文， 密文 + 解密算法 + 公鑰 => 明文

由于加密和解密使用了兩個(gè)不同的密鑰，這就是非對(duì)稱(chēng)加密“非對(duì)稱(chēng)”的原因。

非對(duì)稱(chēng)加密的缺點(diǎn)是加密和解密花費(fèi)時(shí)間長(zhǎng)、速度慢，只適合對(duì)少量數(shù)據(jù)進(jìn)行加密。

在非對(duì)稱(chēng)加密中使用的主要算法有：RSA、Elgamal、Rabin、D-H、ECC（橢圓曲線(xiàn)加密算法）等。

HTTPS通信過(guò)程

HTTPS協(xié)議 = HTTP協(xié)議 + SSL/TLS協(xié)議，在HTTPS數(shù)據(jù)傳輸?shù)倪^(guò)程中，需要用SSL/TLS對(duì)數(shù)據(jù)進(jìn)行加密和解密，需要用HTTP對(duì)加密后的數(shù)據(jù)進(jìn)行傳輸，由此可以看出HTTPS是由HTTP和SSL/TLS一起合作完成的。

SSL的全稱(chēng)是Secure Sockets Layer，即安全套接層協(xié)議，是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。SSL協(xié)議在1994年被Netscape發(fā)明，后來(lái)各個(gè)瀏覽器均支持SSL，其最新的版本是3.0

TLS的全稱(chēng)是Transport Layer Security，即安全傳輸層協(xié)議，最新版本的TLS（Transport Layer Security，傳輸層安全協(xié)議）是IETF（Internet Engineering Task Force，Internet工程任務(wù)組）制定的一種新的協(xié)議，它建立在SSL 3.0協(xié)議規(guī)范之上，是SSL 3.0的后續(xù)版本。在TLS與SSL3.0之間存在著顯著的差別，主要是它們所支持的加密算法不同，所以TLS與SSL3.0不能互操作。雖然TLS與SSL3.0在加密算法上不同，但是在我們理解HTTPS的過(guò)程中，我們可以把SSL和TLS看做是同一個(gè)協(xié)議。

HTTPS為了兼顧安全與效率，同時(shí)使用了對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。數(shù)據(jù)是被對(duì)稱(chēng)加密傳輸?shù)?，?duì)稱(chēng)加密過(guò)程需要客戶(hù)端的一個(gè)密鑰，為了確保能把該密鑰安全傳輸?shù)椒?wù)器端，采用非對(duì)稱(chēng)加密對(duì)該密鑰進(jìn)行加密傳輸，總的來(lái)說(shuō)，對(duì)數(shù)據(jù)進(jìn)行對(duì)稱(chēng)加密，對(duì)稱(chēng)加密所要使用的密鑰通過(guò)非對(duì)稱(chēng)加密傳輸。

HTTPS在傳輸?shù)倪^(guò)程中會(huì)涉及到三個(gè)密鑰：

服務(wù)器端的公鑰和私鑰，用來(lái)進(jìn)行非對(duì)稱(chēng)加密

客戶(hù)端生成的隨機(jī)密鑰，用來(lái)進(jìn)行對(duì)稱(chēng)加密

一個(gè)HTTPS請(qǐng)求實(shí)際上包含了兩次HTTP傳輸，可以細(xì)分為8步。

1.客戶(hù)端向服務(wù)器發(fā)起HTTPS請(qǐng)求，連接到服務(wù)器的443端口

2.服務(wù)器端有一個(gè)密鑰對(duì)，即公鑰和私鑰，是用來(lái)進(jìn)行非對(duì)稱(chēng)加密使用的，服務(wù)器端保存著私鑰，不能將其泄露，公鑰可以發(fā)送給任何人。

3.服務(wù)器將自己的公鑰發(fā)送給客戶(hù)端。

4.客戶(hù)端收到服務(wù)器端的公鑰之后，會(huì)對(duì)公鑰進(jìn)行檢查，驗(yàn)證其合法性，如果發(fā)現(xiàn)發(fā)現(xiàn)公鑰有問(wèn)題，那么HTTPS傳輸就無(wú)法繼續(xù)。嚴(yán)格的說(shuō)，這里應(yīng)該是驗(yàn)證服務(wù)器發(fā)送的數(shù)字證書(shū)的合法性，關(guān)于客戶(hù)端如何驗(yàn)證數(shù)字證書(shū)的合法性，下文會(huì)進(jìn)行說(shuō)明。

如果公鑰合格，那么客戶(hù)端會(huì)生成一個(gè)隨機(jī)值，這個(gè)隨機(jī)值就是用于進(jìn)行對(duì)稱(chēng)加密的密鑰，我們將該密鑰稱(chēng)之為client key，即客戶(hù)端密鑰，這樣在概念上和服務(wù)器端的密鑰容易進(jìn)行區(qū)分。然后用服務(wù)器的公鑰對(duì)客戶(hù)端密鑰進(jìn)行非對(duì)稱(chēng)加密，這樣客戶(hù)端密鑰就變成密文了，至此，HTTPS中的第一次HTTP請(qǐng)求結(jié)束。

5.客戶(hù)端會(huì)發(fā)起HTTPS中的第二個(gè)HTTP請(qǐng)求，將加密之后的客戶(hù)端密鑰發(fā)送給服務(wù)器。

6.服務(wù)器接收到客戶(hù)端發(fā)來(lái)的密文之后，會(huì)用自己的私鑰對(duì)其進(jìn)行非對(duì)稱(chēng)解密，解密之后的明文就是客戶(hù)端密鑰，然后用客戶(hù)端密鑰對(duì)數(shù)據(jù)進(jìn)行對(duì)稱(chēng)加密，這樣數(shù)據(jù)就變成了密文。

7.然后服務(wù)器將加密后的密文發(fā)送給客戶(hù)端。

8.客戶(hù)端收到服務(wù)器發(fā)送來(lái)的密文，用客戶(hù)端密鑰對(duì)其進(jìn)行對(duì)稱(chēng)解密，得到服務(wù)器發(fā)送的數(shù)據(jù)。這樣HTTPS中的第二個(gè)HTTP請(qǐng)求結(jié)束，整個(gè)HTTPS傳輸完成。