HTTPS协议-CFANZ编程社区

简介

HTTPS（超文本传输安全协议）是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信，但利用SSL/TLS来加密数据包。HTTPS开发的主要目的，是提供对网站服务器的身份认证，保护交换数据的隐私与完整性。HTTPS 的作用有：1、内容加密，建立一个信息安全通道，来保证数据传输的安全；2、身份认证，确认网站的真实性；3、数据完整性，防止内容被第三方冒充或者篡改。

连接建立

1、客户端发起请求。

客户端先向服务器发出加密通信的请求，由于客户端对一些加解密算法的支持程度不一样，但是在TLS协议传输过程中必须使用同一套加解密算法才能保证数据能够正常的加解密，因此在这一步，客户端需要向服务器提供以下信息：

2、服务器响应请求。

服务端在接收到客户端的请求之后，服务端需要确定加密协议的版本，以及加密的算法，然后也生成一个随机数，以及将自己的证书发送给客户端一并发送给客户端，这里的随机数是整个过程的第二个随机数。

3、客户端回应。

客户端首先会对服务器下发的证书进行验证，如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期，就会向访问者显示一个警告，由其选择是否还要继续通信。如果验证通过，则向服务器发送以下信息。

4、服务器回应。

服务端在接收到客户端传过来的第三个随机数的加密数据之后，使用私钥对这段加密数据进行解密，并用它生成本次会话所用的会话密钥，然后向客户端最后发送下面信息。

HTTPS和HTTP的区别

1、http是超文本传输协议，信息是明文传输；https 则是具有安全性的ssl加密传输协议。
2、HTTP 和 HTTPS 使用的连接方式不同，端口号也不一样，前者是80，后者是443。
3、HTTP 的连接很简单，是无状态的；HTTPS 协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全。
4、HTTPS 对传输的数据进行了加解密，因此它比 HTTP 慢。

问题

1、如何保证公钥不被篡改？

将公钥放在数字证书中。只要证书是可信的，公钥就是可信的。

2、证书包含哪些内容？

1、证书颁发机构的名称；
2、证书本身的数字签名；
3、证书持有者的公钥；
4、证书签名用到的Hash算法；

3、如何验证证书的有效性？

1、证书颁发机构的验证。如果是浏览器不认识的机构，直接认为是危险证书；
2、证书篡改的验证。根据浏览器内置的CA，使用它的公钥对数字签名进行解密得到摘要A，然后再根据签名的Hash算法计算出证书的摘要B，对比A与B，若相等则正常，若不相等则是被篡改过的。
3、证书过期失效的验证。浏览器将网站提供的证书的序列号通过OCSP发送给证书颁发机构，后者会告诉浏览器证书是否还是有效的。

4、HTTPS 比 HTTP 建立连接更耗时吗？

我们可以用以下 curl 相关命令查看连接建立的详细信息：

curl -w "TCP handshake: %{time_connect}, SSL handshake: %{time_appconnect}\n" -so /dev/null https://www.baidu.com/

截图如下：

从上图可以看出 HTTPS 连接建立的时间大概是 HTTP 的3倍左右，从而可以知道 HTTPS 建立连接的过程比 HTTP 慢。

5、为什么一定要用三个随机数，来生成会话密钥？

因为客户端和服务器使用三个随机数一同生成的密钥就不容易被猜出了，一个伪随机可能完全不随机，可是是三个伪随机就十分接近随机了，每增加一个自由度，随机性增加的可不是一。如果有人窃取通信数据，他很容易知道双方选择的加密方法，以及三个随机数中的两个，整个通话的安全，取决于第三个随机数 Premaster secret 能不能被破解。