二狗子 、初恋及HTTPS

最近二狗子宅在老家，最清闲的就是泡壶茶看着院子的风景发呆一下午。今天，二狗子看到了对面本身暗恋的小翠花，看着美好的小翠花二狗子不由想起了本身美好的初恋。

二狗子的初恋在初中，那个时候学校禁止带手机。上课交流靠三宝，脚踢屁股、笔戳后背和传纸条。最危险的就是传纸条，尤为是早恋，被老师抓到就是一首《凉凉》，而后叫家长，又是一首《爸爸妈妈的爱》。

二狗子很聪明，就跟初恋商量了一下，加密一下小纸条上面的内容，这样就算被班主任抓到也奈何不了。二狗子将英文字母和数字一一对应，组成一个密码本，这样小纸条上只写数字，收到后要将数字翻译成对应字母，再拼成拼音才能解密。

密码本成就了二狗子美好的初恋，后来二狗子长大了，成了一名程序员，他才发现，网络数据传输中的 HTTPS 其实也是相似的原理。

HTTPS的加密算法

聊 HTTPS 以前，咱们先来看下 HTTP 协议，HTTP 协议（HyperText Transfer Protocol），即超文本传输协议，是客户端浏览器或其余程序与 Web 服务器之间的应用层通讯协议 。

HTTPS，则是 HTTP over SSL，即 HTTP+SSL/TLS，能够理解为 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，所以加密的详细内容就须要 SSL，用于安全的 HTTP 数据传输。

上文中提到的传小纸条，其实也算是一种加密算法，而在 HTTPS 中应用的加密算法主要有如下几种：

一、对称加密

有流式、分组两种，加密和解密都是使用的同一个密钥。

例如：DES、AES-GCM、ChaCha20-Poly1305 等

二、非对称加密

加密使用的密钥和解密使用的密钥是不相同的，分别称为：公钥、私钥，公钥和算法都是公开的，私钥是保密的。非对称加密算法性能较低，可是安全性超强，因为其加密特性，非对称加密算法能加密的数据长度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

三、哈希算法

将任意长度的信息转换为较短的固定长度的值，一般其长度要比信息小得多，且算法不可逆。

例如：MD五、SHA-一、SHA-二、SHA-256 等

四、数字签名

签名就是在信息的后面再加上一段内容（信息通过 hash 后的值），能够证实信息没有被修改过。hash 值通常都会加密后（也就是签名）再和信息一块儿发送，以保证这个hash值不被修改。

HTTPS 为何安全

HTTP 请求过程当中，客户端与服务器之间没有任何身份确认的过程，数据所有明文传输，“裸奔”在互联网上，因此很容易遭到黑客的攻击。

图中能够看到，客户端发出的请求很容易被黑客截获，若是此时黑客冒充服务器，则其可返回任意信息给客户端，而不被客户端察觉，因此咱们常常会听到一词“劫持”。

上图是 HTTPS 握手流程，能够看到相比 HTTP，HTTPS 传输更加安全。

• 全部信息都是加密传播，黑客没法窃听。
• 具备校验机制，一旦被篡改，通讯双方会马上发现。
• 配备身份证书，防止身份被冒充。

而 HTTPS 一整套的加解密和校验方案，主要从下面三个方面确保传输的安全。

1. 身份认证

传输以前首先经过数字证书来确认身份，各大 CA 厂商干的就是这个事情。这里涉及到一个名词：数字证书。数字证书分为公钥和私钥，CA 厂商会用本身的私钥来给证书申请者签发一套包含私钥和公钥的客户证书，客户的公钥证书谁均可以获取，里面包含了客户站点和证书的基本信息，用来确保访问者访问的就是他想要访问的站点。

这个证书不能够伪造吗？答案是真的不能够。

缘由一：系统早已内置了各大 CA 厂商的公钥来校验证书是不是对应的站点的证书，若是不是，就会给出证书不匹配的提示，除非你给别人的设备强行植入假的 CA 公钥。

缘由二：这个证书是 CA 厂商经过哈希并加密获得的，基本没法逆向破解并伪造一个新的，除非是你黑进 CA 获取了 CA 的私钥，那这家 CA 也基本能够倒闭了。

2. 数据保密

数据保密包括会话秘钥传输时候的保密和数据的加密传送。具体的加密方式就再也不赘述了。

3. 数据完整

身份认证成功后，到了数据加密传输的阶段，全部数据都以明文（HTTP）收发，只不过收发的是加密后的明文。这时候也遇到了一个问题，虽然中间人很难破解加密后的数据，可是若是他对数据进行了篡改，那该怎么办？此时加密套件验证数据一致性的哈希算法就派上用场了，哈希算法有多种，好比 MD5 ，SHA1 或者 SHA2 等，上面举例的加密套件使用的是 SHA2 中的 SHA256 来对数据进行哈希计算。这样就使得任何的数据更改都会致使通讯双方在校验时发现问题，进而发出警报并采起相应的措施。

如何将 HTTP 升级为 HTTPS？

部署 HTTPS 须要如下三个必要条件或步骤：

• 申请 SSL 证书，你能够选择收费或者免费的的 SSL 证书，不一样类型的 SSL 证书安全程度不尽相同。
• 部署 SSL 证书，又拍云提供一键部署，平台全局自动化管理，采用了最优质的 HTTPS 加速解决方案，可帮助用户以最低的成本，享受最优的服务，完成网站 HTTP 到 HTTPS 的转换。
• 将网站全部 HTTP 连接更换为 HTTPS。

又拍云是众多云厂商中惟一一家提供两款免费的 SSL 证书的云厂商，同时也提供各类付费证书的购买。最近全新上线了 GlobalSign SSL 证书，GlobalSign 成立于 1996 年，是一家声誉卓著，备受信赖的 CA 中心和 SSL 数字证书提供商，在全球总计颁发超过 2000 万张数字证书。偷偷的告诉你，最近 GlobalSign SSL 证书全新上线，有很是大的促销力度哦~

推荐阅读

凡人自保指南：武汉肺炎的我的防御、装备选择与使用建议

为何 HTTPS 比 HTTP 安全