图说HTTPS协议

故事还要从月月给她老公亮亮发了一条消息提及。

晚上亮亮下班回到家,刚一进门
"给我跪下",
"咋了,媳妇儿?",嘴上这样问着,但是亮亮的身体仍是很诚实。
"你不是给我发消息说今晚不回家吗?"说着月月掏出了手机
"天地良心我没这么说过,我今天收到了你的消息仍是你骂我呢",亮亮也掏出了本身的手机

"好神奇,咱们收到的消息和发出去的消息不同耶,难道是咱们被黑客截取了信息"

亮亮起身拍了拍膝盖上的灰说到:“确定是呀，不要让我看见他，否则我打得他妈都不认识他"

入夜了,小两口在床上躺着想到今天发生的事儿仍是苦笑不得,决定想个办法来解决通讯不安全的问题,否则这日子无法过了。

"亮亮，你说咋办呢?你是程序员，你说有什么办法即便是黑客截取到了咱们的信息也没有办法知道是什么内容，就跟谍战片里面同样"

"能够呀,你发送消息给个人时候用密钥加密，而后我收到消息用一样的算法,一样的密钥解密就好了,这有个专业术语叫作对称加密"

"听上去不错,但是你这个有问题呀,和你一我的通讯这样却是能够,可是和其余人通讯怎么办呢?我和他们怎么协商密钥呢?"

"没事儿，这难不倒我，咱们还可使用非对称加密算法,它有两个密钥，一个叫公钥，一个叫私钥,公钥加密的数据只能被私钥解密,一样的,私钥加密的数据只能被公钥解密，私钥只能由你持有,公钥就由我持有(能够网络分发),之后你想和我聊天就把密钥用私钥加密,我这边用公钥解密获得密钥，而后咱们还像以前讲的那样用密钥加密消息进行通讯。别人想和你聊天,你就把公钥给他就好了"

“为何咱们不直接使用非对称加密算法来通讯呢？"

"非对称加密不只速度慢并且只支持少许数据的加密,说多了你也不懂"

"还存在一个问题耶,这个公钥就这样暴露出去了,黑客就能够将其替换成他的公钥，这样别人给我发送消息就至关于给这个黑客发送消息了"

"这个可让第三方进行担保,让它给我保证公钥是正确的。这个第三方结构咱们称它为CA"
"它如何保证呀?"
"CA其实也是使用了非对称加密算法，首先使用CA的私钥对咱们的公钥加密,而后它会给你返回一个证书,里面包含了加密以后的公钥,而后你本地使用CA公钥解密这个证书就能够获取到咱们的公钥了。你老公我是否是很聪明呀？"

"聪明?呵呵。我告诉你你仍是太天真了,CA能够给你颁发证书也能够给黑客证书,你如何保证证书没有被掉包,我收到的证书不是黑客所持有的？"
亮亮嘀咕到:"一天想东想西的,黑客哪有那么多时间，每天守着你"
"你说什么?"
"我说,咱们能够在本地经过证书的编号来验证证书是不是真实的呀?咱们让证书根据一系列信息生成一个消息摘要，而后将这个消息摘要使用CA的密钥加密造成数字签名放到证书里面,而后咱们本地根据一样的规则来生成消息摘要,而后将证书中的数字签名解密,它们两个进行两两对比就行呀。"

一系列代指签发者，证书用途，咱们须要传输的公钥,加密算法，HASH算法，到期时间等,对于网站来讲还有域名的信息

"听上去不错，但是这一切的前提是CA的公钥可信呀,万一内置在游览器和操做系统的证书不可信了怎么办呢?"
"若是这两个都被攻破了,那就万事皆休了,并且世界上哪有绝对的安全呀，你要是在乎信息泄露，那你就别上网好了"
"算了,仍是别想那么多了,睡觉吧，都2点钟,明天我确定又有黑眼圈了，都怪你。"

NetScape相继开发了SSL1.0,SSL2.0,SSL3.0，由ISOC组织接手后，发布了TLS 1.0(和SSL3.0几乎没有差别,能够向降低级),TLS1.0也被称为SSL3.1,而后通过TLS1.1,TLS1.2,如今最新的是TLS1.3。大部分游览器基本都支持TLS1.2。 咱们访问网络经常使用的协议是HTTP协议,可是它的通讯过程并不安全,很容易被拦截,监听，篡改。而SSL/TLS能够保证信息安全,因此它们合并在一块儿就组成了咱们今天要说的主角HTTPS(HTTPS=HTTP >+ SSL/TLS)。