11、HTTPS协议

HTTPS协议

HTTPS：在http(超文本传输协议)基础上提出的一种安全的http协议，因此可以称为安全的超文本传输协议。http协议直接放置在TCP协议之上，而https提出在http和TCP中间加上一层加密层。从发送端看，这一层负责把http的内容加密后送到下层的TCP，从接收方看，这一层负责将TCP送来的数据解密还原成http的内容。

 HTTPS就是在HTTP基础上增加了SSL，而且SSL是内嵌到操作系统内核来实现的，对上层应用透明；当然也可以作为函数库供应用调用。端口为443,主要功能有建立安全信道、确认网站服务器和客户端的真实性以及HTTPS的单向认证。

1、Http的缺点

• 通信使用明文，内容可能会被窃听 —— 加密通信线路
• 不验证通信方，可能遭遇伪装 —— 证书
• 无法验证报文的完整性，可能已被篡改 —— 数字签名

Http+加密+认证+完整性保护=Https

Https就是身披SSL（Secure Socket Layer，安全套接层）协议这层外壳的Http。当使用了SSL之后，Http先和SSL通信，SSL再和TCP通信。

SSL（secure sockets layer）：安全套接层，它是在上世纪90年代中期，由网景公司设计的，为解决 HTTP 协议传输内容会被偷窥（嗅探）和篡改等安全问题而设计的，到了1999年，SSL成为互联网上的标准，名称改为TLS（transport layer security）：安全传输层协议，两者可视为同一种东西的不同阶段。

2、Https的工作原理

HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL协议不仅仅是一套加密传输的协议，更是一件经过艺术家精心设计的艺术品，TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的具体描述如下：

浏览器将自己支持的一套加密规则发送给网站。网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。

浏览器获得网站证书之后浏览器要做以下工作：

• a) 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。
• b) 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。
• c) 使用约定好的HASH算法计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。

网站接收浏览器发来的数据之后要做以下的操作：

• a) 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。
• b) 使用密码加密一段握手消息，发送给浏览器。

浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：

非对称加密算法：RSA，DSA/DSS

对称加密算法：AES，RC4，3DES

HASH算法：MD5，SHA1，SHA256

HTTPS对应的通信时序图如下：

3、加密传输过程

1）客户端发起HTTPS请求

就是用户在浏览器里输入一个https网址，然后连接到server的443端口。

2）服务端的配置

采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择，有1年的免费服务)。这套证书其实就是一对公钥和私钥。

3）传送证书

这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。

4）客户端解析证书

这部分工作是有客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随即值。然后用证书对该随机值进行加密。

5）传送加密信息

传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

6）服务端加密信息

服务端用私钥解密后，得到了客户端传过来的随机值(对称密钥)，然后把内容通过该值进行对称加密。

7）传输加密后的信息

服务段用对称密钥加密后的信息，可以在客户端被还原

8）客户端解密信息

客户端用之前生成的私钥解密服务端传过来的信息，于是获取了解密后的内容。整个过程第三方即使监听到了数据，也束手无策。

4、证书分类

SSL 证书大致分三类:

• 认可的证书颁发机构(如: VeriSign), 或这些机构的下属机构颁发的证书.
• 没有得到认可的证书颁发机构颁发的证书.
• 自签名证书， 自己通过JDK自带工具keytool去生成一个证书，分为临时性的(在开发阶段使用)或在发布的产品中永久性使用的两种.

只有第一种, 也就是那些被安卓系统认可的机构颁发的证书, 在使用过程中不会出现安全提示。对于向权威机构（简称CA，Certificate Authority）申请过证书的网络地址,用OkHttp或者HttpsURLConnection都可以直接访问 ，不需要做额外的事情 。但是申请需要$$ （每年要交 100 到 500 美元不等的费用）。

CA机构颁发的证书有3种类型：

• 域名型SSL证书（DV SSL）：信任等级普通，只需验证网站的真实性便可颁发证书保护网站；
• 企业型SSL证书（OV SSL）：信任等级强，须要验证企业的身份，审核严格，安全性更高；
• 增强型SSL证书（EV SSL）：信任等级最高，一般用于银行证券等金融机构，审核严格，安全性最高，同时可以激活绿色网址栏。

5、HTTPS协议和HTTP协议的区别：

https协议需要到ca申请证书，一般免费证书很少，需要交费。

http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。

http和https使用的是完全不同的连接方式用的端口也不一样,前者是80，后者是443。

http的连接很简单,是无状态的 。

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

因此，这三者的关系已经十分清楚了：https依赖一种实现方式，目前通用的是SSL，数字证书是支持这种安全通信的文件。另外有SSL衍生出TLS和WTLS，前者是IEFT将SSL标准化之后产生的（TSL1.0），与SSL差别很小，后者是用于无线环境下的TSL。