HTTPS研究（1）—https协议入门

一、http为什么不安全？

       http协议没有任何的加密以及身份验证的机制，非常容易遭遇窃听、劫持、篡改，因此会造成个人隐私泄露，恶意的流量劫持等严重的安全问题。

       就像寄信一样，我给你寄信，中间可能会经过很多的邮递员，他们可以拆开信读取里面的内容，因为是明文的。如果你的信里涉及到了你们银行账号等敏感信息，可能就会被窃取。除此之外，邮递员们还可以给你伪造信的内容，导致你遭到欺骗。

       国外很多网站包括Google、Facebook、Twitter都支持了全站https，国内方面目前百度已经在年初完成了搜索的全站https，其他大型的网站也在跟进中，百度最先完成全站https的最大原因就是百度作为国内最大的流量入口，劫持也必然是首当其冲的，造成的有形的和无形的损失也就越大。关于流量劫持问题，我在另一篇文章中也有提到，基本上是互联网企业的共同难题，https也是目前公认的比较好的解决方法。但是https也会带来很多性能以及访问速度上的牺牲，很多互联网公司在做大的时候都会遇到这个问题：https成本高，速度又慢，规模小的时候在涉及到登录和交易用上就够了，做大以后遇到信息泄露和劫持，想整体换，代价又很高。

2、https如何保证安全

      要解决上面的问题，就要引入加密以及身份验证的机制。

      如果我给你的信是密文的，只有我和你才能读懂，就可以保证数据的保密性。这时问题来了，我把信加密后，你如何读懂这封信呢？这时我必须要把加密的密钥告诉你，你才能解开密文的内容。但是这个秘钥如果以明文的方式给你还是会被中间的人截获，依然无法保证保密性，如果以密文的方式给你，你又如何获得这个密文的秘钥呢？

      这时我们引入了非对称加密的概念，我们知道非对称机密如果是公钥加密的数据私钥才能解密，所以我只要把公钥发给你，你就可以用这个公钥来加密未来我们进行数据交换的秘钥，发给我时，即使中间的人截取了信息，也无法解密，因为私钥在我这里，只有我才能解密，我拿到你的信息后用私钥解密后拿到加密数据用的对称秘钥通过这个对称密钥来进行后续的数据加密。除此之外，非对称加密可以很好的管理秘钥，保证每次数据加密的对称密钥都是不相同的。

     但是这样似乎还不够，如果中间人在收到我的给你公钥后并没有发给你，而是自己伪造了一个公钥发给你，这是你把对称密钥用这个公钥加密发回经过中间人，他可以用私钥解密并拿到对称密钥，此时他在把此对称密钥用我的公钥加密发回给我，这样中间人就拿到了对称密钥，可以解密传输的数据了。为了解决此问题，我们引入了数字证书的概念。我首先生成公私钥，将公钥提供给相关机构（CA），CA将公钥放入数字证书并将数字证书颁布给我，此时我就不是简单的把公钥给你，而是给你一个数字证书，数字证书中加入了一些数字签名的机制，保证了数字证书一定是我给你的。

    所以综合以上三点：对称加密算法加密数据+非对称加密算法交换密钥+数字证书验证身份=安全