HTTPS（身披SSL协议的HTTP）

参考连接：

HTTP 与 HTTPS 的区别

HTTPS科普扫盲帖

HTTPS小结

HTTP 和 HTTPS 区别

• HTTP是明文传输未加密，安全性差，HTTPS（HTTP + SSL）数据传输是加密的，安全性较好

• HTTPS协议须要到CS申请——收费

• HTTP页面响应速度比HTTPS快，主要是由于 HTTP 使用 TCP 三次握手创建链接，客户端和服务器须要交换 3 个包，而 HTTPS除了 TCP 的三个包，还要加上 ssl 握手须要的 9 个包，因此一共是 12 个包。

• 默认端口不一样

• HTTPS 其实就是建构在 SSL/TLS 之上的 HTTP 协议，因此，要比较 HTTPS 比 HTTP 要更耗费服务器资源。

HTTPS基础

HTTPS = HTTP + 加密 + 认证 + 完整性保护

HTTPS 经由 HTTP 进行通讯，可是利用SSL/TLS来进行加密数据包。

SSL 提供 加密处理 和 认证 以及 摘要功能

HTTPS开发的主要目的，是提供对网站服务器的身份认证，保护交换数据的隐私与完整性。

通常，HTTP是与TCP直接通讯，如今使用SSL，HTTP先与SSL通讯，SSL和TCP通讯。

SSL 和 TLS

通俗的讲，TLS、SSL实际上是相似的东西，SSL是个加密套件，负责对HTTP的数据进行加密。TLS是SSL的升级版。如今提到HTTPS，加密套件基本指的是TLS。

SSL 是独立于 HTTP 的协议， 因此不光是 HTTP 协议， 其余运行在应用层的 SMTP和 Telnet 等协议都可配合 SSL 协议使用。

传输流程：原先是应用层将数据直接给到TCP进行传输，如今改为应用层将数据给到TLS/SSL，将数据加密后，再给到TCP进行传输。如图：

HTTPS 的工做原理

HTTPS 默认工做在 TCP 协议443端口，它的工做流程通常如如下方式：

1. 客户端发起 HTTPS 请求 ——TCP 三次握手以后（传输层上的TCP和UDP（三次握手））

2. 服务端的配置 ，客户端验证服务器数字证书（这套证书其实就是一对公钥和私钥 ）

3. 传送证书，这个证书就是公钥，其中包含了证书的颁布机构，过时时间等

4. 客户端解析证书，这个部分的工做是客户端的TLS来完成的，首先会验证公钥是否有效，好比颁发机构，过时时间等，若是发现异常，则会弹出一个警告框，提示证书存在问题。

   若是证书没有问题，那么就生成一个随机值，而后用证书对改随机值进行加密

5. 传送加密信息，此时传送的是用证书加密后的随机值，目的就是让服务器获得这个随机值，之后客户端和服务器端的通讯就能够经过这个随机值来进行加密解密了。

6. 服务器端解密信息，服务器端用私钥解密后，获得客户端传过来的随机值（私钥），而后把内容经过该值进行对称加密，所谓对称加密就是，将信息和私钥经过某种算法混合在一块儿，这要除非知道私钥，否则没法获取内容，而客户端和服务器端都知道这个私钥，因此只要加密算法够彪悍，私钥够复杂，数据就足够安全。

7. 传输加密后的信息，这部分信息是服务器端用私钥加密后的信息，能够在客户端还原。

8. 客户端解密信息，客户端用以前生成的私钥解密服务端传过来的信息，因而获取了解密后的内容，整个过程第三方即便监听到了数据，也一筹莫展。

 

HTTPS如何加密数据（看不懂）

加密分为：对称加密和非对称加密

对称加密

流程：客户端和服务器端进行一次私密对话：

1.每次对话时，服务器端都要给客户端一个秘钥

2.客户端把数据加密之后，发送给服务器端

3.服务器端使用秘钥解密接收到的数据

优势：效率高

缺点：不够安全，万一黑客把秘钥和密文截取了，他就能够解密这段数据了

非对称加密

流程：客户端和服务器端进行一次私密对话：

1.服务器端要给客户端一个公钥（全世界都知道），服务器端保留这个服务器对应的的私钥

2.客户端用公钥把数据加密之后，发送给服务器端

3.服务器端使用对应的的私钥解密接收到的数据

优势：效率低

缺点：不够安全，万一黑客把密文截取了（公钥早就知道了），他就能够解密这段数据了

 

HTTPS 采用共享密钥加密和公开密钥加密二者并用的混合加密机制。 若密钥可以实现安全交换， 那么有可能会考虑仅使用公开密钥加密来通讯。 可是公开密钥加密与共享密钥加密相比， 其处理速度要慢。因此应充分利用二者各自的优点， 将多种方法组合起来用于通讯。 在交换密钥环节使用公开密钥加密方式， 以后的创建通讯交换报文阶段则使用共享密钥加密方式。

 

另外一种解释（一人一种理解  -.-'）：

HTTPS在传输数据以前须要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程当中将确立双方加密传输数据的密码信息。TLS/SSL协议不只仅是一套加密传输的协议，更是一件通过艺术家精心设计的艺术品，TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的简单描述以下：
1.浏览器将本身支持的一套加密规则发送给网站。
2.网站从中选出一组加密算法与HASH算法，并将本身的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
3.得到网站证书以后浏览器要作如下工做：

a) 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），若是证书受信任，则浏览器栏里面会显示一个小锁头，不然会给出证书不受信的提示。

b) 若是证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。

c) 使用约定好的HASH计算握手消息，并使用生成的随机数对消息进行加密，最后将以前生成的全部信息发送给网站。
4.网站接收浏览器发来的数据以后要作如下的操做：

a) 使用本身的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。

b) 使用密码加密一段握手消息，发送给浏览器。
5.浏览器解密并计算握手消息的HASH，若是与服务端发来的HASH一致，此时握手过程结束，以后全部的通讯数据将由以前浏览器生成的随机密码并利用对称加密算法进行加密。
这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都得到了一致的密码，而且能够正常的加密解密数据，为后续真正数据的传输作一次测试。另外，HTTPS通常使用的加密与HASH算法以下：
非对称加密算法：RSA，DSA/DSS
对称加密算法：AES，RC4，3DES
HASH算法：MD5，SHA1，SHA256
其中非对称加密算法用于在握手过程当中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。因为浏览器生成的密码是整个数据加密的关键，所以在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，所以能够随意传输，而网站的私钥用于对数据进行解密，因此网站都会很是当心的保管本身的私钥，防止泄漏。

HTTPS 的安全通讯机制/SSL过程（看不懂）

步骤 1： 客户端经过发送 Client Hello 报文开始 SSL 通讯。 报文中包含客户端支持的 SSL 的指定版本、 加密组件（ Cipher Suite） 列表（ 所使用的加密算法及密钥长度等） 。步骤 2： 服务器可进行 SSL 通讯时， 会以 Server Hello 报文做为应答。 和客户端同样， 在报文中包含 SSL 版本以及加密组件。 服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤 3： 以后服务器发送 Certificate 报文。 报文中包含公开密钥证书。

步骤 4： 最后服务器发送 Server Hello Done 报文通知客户端， 最初阶段的 SSL 握手协商部分结束。

步骤 5： SSL 第一次握手结束以后， 客户端以 Client KeyExchange 报文做为回应。报文中包含通讯加密中使用的一种被称为 Pre-master secret 的随机密码串。 该报文已用步骤 3 中的公开密钥进行加密。

步骤 6： 接着客户端继续发送 Change Cipher Spec 报文。 该报文会提示服务器， 在此报文以后的通讯会采用 Pre-master secret 密钥加密。

步骤 7： 客户端发送 Finished 报文。 该报文包含链接至今所有报文的总体校验值。此次握手协商是否可以成功， 要以服务器是否可以正确解密该报文做为断定标准。

步骤 8： 服务器一样发送 Change Cipher Spec 报文。

步骤 9： 服务器一样发送 Finished 报文。

步骤 10： 服务器和客户端的 Finished 报文交换完毕以后， SSL 链接就算创建完成。固然， 通讯会受到 SSL 的保护。 今后处开始进行应用层协议的通讯， 即发送 HTTP请求。

步骤 11： 应用层协议通讯， 即发送 HTTP 响应。

步骤 12： 最后由客户端断开链接。 断开链接时， 发送 close_notify。这步以后再发送 TCP FIN 报文来关闭与 TCP 的通讯。

在以上流程中， 应用层发送数据时会附加一种叫作 MAC（ Message Authentication Code） 的报文摘要。 MAC 可以查知报文是否遭到篡改， 从而保护报文的完整性。