HTTPS = HTTP + TLS/SSL
,简单理解 HTTPS 其实就是在 HTTP 上面加多了一层安全层。HTTP 可以是 Http2.0 也可以是 Http1.1,不过现在 Http2.0 是强制要求使用 Https 的。
HTTPS 基本原理
首先需要一个第三方认证机构(CA 认证),确保公钥的合法性(即证书,不合法的证书浏览器会警告),然后利用非对称加密(公钥私钥)方式加密并传输共享密钥到服务器,可以确保共享密钥无法被拦截被获取到(共享密钥被公钥加密了,只有对应的私钥才能解密,服务器有私钥),最终的客户端和服务端 HTTP 传输就是使用共享秘钥加密进行通信。
HTTPS 流程图
首先,我们先看下 HTTPS 的整个流程。
HTTPS 是如何确保安全的?
- 使用非对称密钥(即公钥私钥 ))和对称密钥 )(即共享密钥)相结合
通过公钥私钥的方式,避免了共享密钥发送途中被第三方拦截获取密钥的安全问题。
通过公钥和私钥加密建立保护层(即 SSL 保护层),后续的 Http 请求就会使用共享密钥进行加密通信(共享的密钥已经被 SSL 保护起来了,外面无法拦截到),即所谓的安全层。
所以建立了安全层后,即使 HTTP 报文被拦截到,也无法解密。
- CA 认证
由于公钥这个环节是公开的,存在被替换的风险,所以就有了第三方证书认证公司(CA 认证),浏览器通过判断证书是否有效。
一般系统或者浏览器都会内置信任的根证书(这些 CA 组织都是非常可信的),浏览器可以根据这个根证书判断网站的证书是否合法。
证书如果不合法,那么久浏览器就会警告,都是不给访问的证书不合法的网站,除非用户跳过这个警告。