HTTPS 互联网世界的安全基础

近一年公司在努力推进全站的 HTTPS 化，作为负责应用系统的我们，在配合这个趋势的过程中，顺便也就想去搞清楚 HTTP 后面的这个 S 到底是个什么含义？有什么作用？带来了哪些影响？毕竟以前也就只是模糊的知道大概是更安全，但到底怎么变得更安全的，实际上整个细节和流程并没有掌握的特别清晰。

所以这篇关于 HTTPS 的技术总结文章，主要提供一个关于 HTTPS 中的 S 一个整体的认识。从其产生的历史背景、设计目标说起，到分析其协议设计结构、交互流程是如何实现其目标。最后结合我们自己的案例分析下其中带来的影响。

下面我们就先从其诞生之初说起吧。

历史

S 代表 Secure，所以 HTTPS 自然就是更安全的 HTTP 的意思。互联网诞生之初 SSL（Secure Sockets Layer 安全套接层）是由 Netscape 这家最早的浏览器公司设计的，主要是用于 Web 的安全传输的协议，这种协议在早期 Web 上获得了广泛的应用。后来被 IETF 标准化形成了 TLS（Transport Layer Security 传输层安全）标准，其历史如下：

• 1994: SSL1.0，因为存在严重的安全漏洞，未发布。
• 1995: SSL2.0，这个版本由于设计缺陷，很快被发现有严重漏洞，被废弃。
• 1996: SSL3.0，重新设计并开始流行，SSL 前三个版本都是由 Netscape 设计实现。
• 1999: TLS1.0，IETF 将 SSL 标准化，即 RFC 2246。
• 2006: TLS1.1，作为 RFC 4346 发布。
• 2008: TLS1.2，作为 RFC 5246 发布 。
• 2015: TLS1.3，尚在制定中，处于草案阶段。

如上，现在互联网世界使用最广泛的应该是 TLS1.2 标准。

目标

SSL/TLS 最初的设计目标就是为了实现下面三个目的：

• 保密：第三方无法窃听。
• 完整：无法篡改。
• 认证：防止身份冒充。

互联网是一个开放的环境，十分复杂。网上两端通信的双方彼此都不知道谁是谁，双方如何信任、信息如何保密，如何不被篡改，这是十分复杂的问题。而且互联网本身就像有生命一般在不断进化，如何设计一个协议来应对未来可能的变化，因而这使得 SSL/TLS 协议的设计十分复杂。

结构

我们知道整个互联网构建于 TCP/IP 协议栈基础之上，在描述协议设计细节之前，我们先看看 SSL/TLS 协议处于该分层协议栈结构中的位置，其分层结构位置参考如下：