HTTPS和SSL

参考：

《图解HTTP》

背景

HTTP主要不足如下：

• 通信使用明文（不加密），内容可能会被窃听
• 不验证通信方的身份，因此有可能遭遇伪装
• 无法证明报文的完整性，所以有可能已遭篡改

总结一句话就是HTTP并不安全，这也是HTTPS出现的主要原因之一。

一、什么是HTTPS

• 我们把添加了加密及认证机制的HTTP称为HTTPS，而这里的加密方式就是SSL，具体SSL是如何加密的下文会说明。
• HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL和TLS协议代替而已，简言之，所谓HTTPS，其实就是身披SSL协议这层外壳的HTTP。

二、SSL

在学习SSL之前我们先了解下加密方法，SSL 采用一种 叫做公开密钥加密（Public-key cryptography）的加密处理方式。另一种加密方法是共享密钥加密（Common key crypto system），也被叫做对称密钥加密。

近代的加密方法中加密算法是公开的，而密钥却是保密的。通过这种 方式得以保持加密方法的安全性。
加密和解密都会用到密钥。没有密钥就无法对密码解密，反过来说， 任何人只要持有密钥就能解密了。如果密钥被攻击者获得，那加密也 就失去了意义。

1. 共享密钥加密

概念：

加密和解密同用一个密钥的方式称为共享密钥加密。

缺点：

从上图中，我们可以看到共享密钥加密方式有个很严重的问题：

以共享密钥方式加密时必须将密钥也发给对方。可究竟怎样才能 安全地转交？在互联网上转发密钥时，如果通信被监听那么密钥 就可会落入攻击者之手，同时也就失去了加密的意义。另外还得设法安全地保管接收到的密钥。公开密钥加密方式很好地解决了共享密钥加密的困难。

2. 公开密钥加密方式

概念：

公开密钥加密使用一对非对称的密钥。一把叫做私有密钥 （private key），另一把叫做公开密钥（public key）。顾名思义，私有密钥不能让其他任何人知道，而公开密钥则可以随意发 布，任何人都可以获得。如下图：

发送密文的一方用对方的公开密钥进行加密，对方收到消息后再用自己的私有密钥进行解密。使用这种方式，用来解密的私有密钥就不需要进行发送，也就没有被攻击者窃听，盗走的风险。

缺点：

• 由于加密方式比较复杂，因此若在通信时使用公开密钥加密方式，效率就很低。
• 无法证明公开密钥的正确性，这个就引申出所谓的证书机制了。

3. HTTPS采用混合加密机制

HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。具体步骤如下图：

• 使用公开密钥加密方式获取共享密钥加密方式的密钥

• 确保该密钥是安全的情况下，使用共享密钥加密方式进行通信

4. 公开密钥证书

为了证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥，可以使用由数字证书认证机构（CA，Certificate Authority）和其相关机关颁发的公开密钥证书。

具体操作步骤如下图：

5. HTTPS问题

由于HTTPS使用了SSL，其中加密、解密的过程会消耗资源导致它的处理速度比较慢，可以参考下图：

因此，如果是非敏感信息则使用 HTTP 通信，只有在包含个人信息 等敏感数据时，才利用 HTTPS 加密通信