https学习笔记

参考链接:https://segmentfault.com/a/1190000021494676

了解https之前先看一看http的弊端

1.http的最大弊端——不安全

　　http之所以被https取代，最大的原因是不安全，至于为什么不安全，看一下下面这张图就一目了然了。

 

 由上图可见，http在传输数据过程中，所有数据都是明文传输，自然没有安全性可言。https使用了混合加密算法（对称加密和非对称加密），可以用密钥加密或还原数据，只要确保密钥不被第三方获取，就能确保数据传输的安全。

2.加密算法

　　对称加密：加密和解密都是使用同一个密钥，常见的对称加密算法有DES、3DES和AES。

　　　　优点：

　　　　算法公开、计算量小、加密速度快、加密效率高、适合加密比较大的数据。

　　　　缺点：

　　　　交易双方需要使用相同的密钥，也就无法避免密钥偶的传输，二密钥在传输过程中无法保证不被截获，因此对称加密的安全性得不到保证。

　　　　每次用户使用对称加密算法时，都需要使用其他人不知道的唯一密钥，这会使得发收信双方所拥有的密钥密钥数量急剧增长，密钥管理成为双方负担。对称加密算法在分布式系统上使用较为困难，主要因为密钥管理困难，使用成本高。

 

 由上图可见，被加密的数据在传输过程中是无规则乱码，即便被第三方截获，在没有密钥的情况下也无法解密数据，这就保证了数据安全。有一个致命问题是，既然双方要使用相同的密钥，那就必须要在传输数据之前由一方把密码传给另一方，这个过程很有可能被截获，加密数据也会被轻松解密。

　　非对称加密：加密和解密使用不同的密钥（公钥和私钥），公钥和私钥是一对，如果用公钥对数据进行加密，只有对应的私钥才能解密；如果使用私钥对数据进行加密米，那只有对应的公钥才能解密。常用的非对称加密算法是RSA算法。

非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公钥对外开放，得到该公钥的乙方使用公钥对机密信息进行加密后发送给甲方，甲方再用自己保存的私钥对加密后的信息进行解密。

　　　　优点：

　　　　算法公开，加密和解密使用不同的密钥，私钥不需要通过网络进行传输，安全性很高。

　　　　缺点：

　　　　计算量很大，加密和解密速度对比对称加密慢很多。

 

 由上图可见，客户端在拿到服务器的公钥后，会生成一个随机码（用KEY表示，这个KEY就是后续双方用于对称加密的密钥），然后客户端使用公钥包KEY加密后再发送给服务器，服务器使用私钥将其解密，这样双方就有了同一个密钥KEY，然后双方再使用KEY进行对称加密交互数据。在非对称加密传输KEY的过程中，即便第三方获取了公钥和加密后的KEY，在没有私钥的情况下也无法破解KEY（私钥存在服务器，泄露风险极小），这就保证了接下来对称加密的数据安全。上图流程就是https的雏形，https正好综合了两种加密算法的的优点，不仅保障了数据安全，还保证了数据的传输效率。

https原理详解

　　HTTPS（Hypertext Transfer Protocol Secure）是基于HTTP的扩展，用于计算机网络的安全通信，已经在互联网得到广泛的应用，在HTTPS中，原有的HTTP协议会得到TLS（安全传输层协议）或其前辈SSL（安全套接层的加密）。因此，HTTPS也常指HTTP over TLS或HTTP over SSL，也就是说HTTPS = HTTP + SSL/TLS。

 

 

 

 https的整个通讯过程可以分为两大阶段：证书验证和数据传输阶段，数据传输阶段又可以分为非对称加密和对称加密两个阶段。

　　1.客户端请求HTTPS网址，然后连接到server的443端口（HTTPS默认端口，类似于HTTP的80端口）。

　　2.采用HTTPS协议的服务器必须要有一套数字CA（Certification Authority）证书，证书时需要申请的，并由专门的数字证书认证机构（CA）通过非常严格的审核之后颁发的电子证书。颁发证书的同时会产生一个公钥和私钥。私钥由服务器自己保存，不可泄漏。公钥则是附带在证书信息中，可以以公开的。证书本身也附带一个证书电子签名，这个签名用来验证证书的完整性和真实性，可以防止证书被篡改。

　　3.服务器响应客户端请求，将证书传递给客户端，证书包含公钥和其他信息，比如证书的颁发机构信息，公司信息和证书有效期等。

　　4.客户端解析证书并对其进行验证。如果证书不是可信机构颁布，或者整数中的域名与实际域名不一致，或者证书已经过期，就会向访问者显示一个警告，由其选择是否还要继续通信。

　　5.客户端把加密后的随机码KEY发送给服务器，作为后面对称加密的密钥。

　　6.服务器收到随机码KEY之后会使用私钥B将其解密。经过以上这些步骤，客户端和服务器终于建立了安全连接，完美解决了对称加密的密钥泄露问题，接下来就可以使用对称加密愉快的进行通信了。

　　7.服务器使用密钥（随机码KEY）对数据进行对称加密并发送给客户端，客户端使用相同的密钥（随机码KEY）解密数据。

　　8.双方使用对称加密愉快的传输所有数据。

总结：

http和https的区别：

　　1.最重要的就是安全性，HTTP明文传输，不对数据进行加密安全性较差。HTTPS的数据传输过程是加密的，安全性较好。

　　2.使用HTTPS协议需要申请CA证书，一般免费证书较少，因此需要一定费用。

　　3.HTTP页面响应速度比HTTPS快，HTTPS由于加了一层安全层，建立连接的过程更复杂，也要交换更多的数据，难免影响速度。

　　4.由于HTTPS是建立在SSL/TLS之上的HTTP协议，所以要比HTTP更耗费服务器资源。

　　5.HTTPS和HTTP使用的是完全不同的连接方式，用的端口也不一样，前者是443，后者是80.

HTTPS的缺点：

　　在相同的网络环境中，HTTPS相比HTTP无论是响应时间还是耗电量都有大幅度上升。

　　HTTPS的安全是由范围的，在黑客攻击、服务器劫持等情况下几乎起不到作用。

　　在现有的证书机制下，中间人攻击依然有可能发生。

　　HTTPS需要更多的服务器资源，也会导致成本的升高。