为什么说 HTTPS 是安全的？(科普)

昨天跟朋友聊天，聊到最近要给自己的网站部署SSL证书，他说我们都知道HTTP是以明文的形式传递参数，那么HTTPS是如何传递参数？是否与HTTP传递方式相同，HTTPS是如何来保护数据安全？我一听，这题我熟，果断打开电脑给他安排的明明白白。

首先，我使用自己未部署SSL证书的站点来测试，输入账号密码点击提交

通过一系列操作，就查到了刚刚提交的信息。

当他看到这些后直言啊这，啊这，我悟了，得赶紧给我的宝贝站点配个SSL证书。

别急，让我给你科普的明明白白的。

数据传输必须要经过一些节点，例如WIFI热点，路由器，防火墙，反向代理，缓存服务器等。在HTTP协议下，中间者可以随意嗅探用户信息，窃取隐私甚至篡改网页。

“能不能详细说一下，这里有点不太明白”他说。

那我就给你举个通俗易懂的例子：咱们经常网购，那么服务器好比商家，运营商好比“快递公司”，用户好比买家。当网站用http协议的时候，等于服务器给用户寄货，但随便选个包装然后让“快递公司”配送给用户。“快递员”为了自己的利益，把包装拆开，可以随意查看用户购买的商品,可能还在里面塞广告卡片。甚至有可能调包快递给用户的商品。

“快递员”之所以能轻而易举的拆开用户的包装,是因为我们现行的网络协议是明文传输,没有任何加密。（我们的快递公司都有相关制度，快递小哥也很负责，不会发生以上的情况，上述仅仅为举例说明，满满的求生欲）

随着互联网的使用群体越来越大，网络通信安全引起大家的重视，那么网景公司1994年发布了新的https协议,在原有的http的基础上加入了SSL加密传输协议.也就是我们今天的SSL证书。

部署SSL证书的网站有明显的安全标志：以https开头，且显示加密锁。

这张图是部署SSL证书后服务器和客户端浏览器进行加密通信的一个示意图。

1.客户端向服务器发送Client Hello,告诉服务器，我支持的协议版本，加密套件等信息。

2.服务器收到响应，选择双方都支持的协议，套件，向客户端发送Server Hello。同时服务器也将自己的证书发送到客户端(Certificate)。

3.客户端自己生产预主密钥，通过公钥加密预主秘钥，将加密后的预主秘钥发送给服务器 (Client Exchange)。

4.服务器用自己的私钥解密加密的预主密钥。

之后，客户端与服务器用相同的算法根据客户端随机数，服务器随机数，预主秘钥生产主密钥，之后的通信将都用主密钥加密解密。

现在让我们回头来看测试站，部署上SSL证书，再看数据：

在SSL证书的保护下,无法查看用户与网站之间的交互信息, 截获到的信息全部是密文。保护了我们的信息安全，以后遇见未设置SSL证书的网站可不要随便的输入信息哦。

悄悄补一句，对你的网站做优化排名也有帮助，同样的网站，https的站点会在搜索结果排前面。

结束测试后，他感叹道，互联网给我们带来的便利是巨大的，但是信息安全，还是要时时注意，不能给不法分子有机可乘。