亚洲综合网伊人中文|亚洲一区二区无码动漫|成年性午夜免费视频网站不卡|色爱区综合激情五月综合色

現在打開(kāi)各大知名網(wǎng)站，你有沒(méi)有發(fā)現地址欄都已經(jīng)加了個(gè)綠色的小鎖？

是的，這就是https，這就是https的時(shí)代。然而，你了解https嗎？簡(jiǎn)單來(lái)說(shuō)，https就是套在SSL/TLS內的http，也就是安全的http。何為安全？一個(gè)安全的網(wǎng)絡(luò )通信環(huán)境要解決3個(gè)問(wèn)題：

1.通信內容的保密性
2.通信雙方身份的真實(shí)性
3.通信內容的完整性
而https就是為了解決這3大問(wèn)題而誕生的（準確來(lái)說(shuō)應該是ssl），下面分別看看這3個(gè)問(wèn)題的解決方案。

通信內容的保密性
通信內容的保密需要通過(guò)加密來(lái)實(shí)現。我們的互聯(lián)網(wǎng)環(huán)境是非常透明的，通信需要經(jīng)過(guò)很多中轉才能到接收方手中。這個(gè)情形有點(diǎn)像你上課的時(shí)候給第一排的小紅遞紙條一樣，紙條上你肯定不會(huì )直接寫(xiě)今夜三更操場(chǎng)見(jiàn)，而是機靈地寫(xiě)了老地方見(jiàn)。這個(gè)老地方只有你和小紅知道，這樣就算小明小李看到了紙條，他們也不知道老地方是圖書(shū)館還是英語(yǔ)角，這就是加密，而老地方就是所謂的密鑰。

當然，這個(gè)例子并不是很準確。簡(jiǎn)單來(lái)說(shuō)，加解密就是一個(gè)函數，而密鑰則是這個(gè)函數的參數。比如我們定義一個(gè)簡(jiǎn)單的加密函數，f(x)=x+b，x就是輸入的明文，而b是密鑰；解密函數就是加密函數的反函數，也就是g(x)=x-b。當不知道b的時(shí)候，你就算看到了密文也猜不出真實(shí)內容，這樣就實(shí)現了加密。這種加解密都用同一個(gè)密鑰，叫對稱(chēng)加密。

但這里有個(gè)問(wèn)題，這里的參數b是怎么協(xié)商出來(lái)的？
你和小紅可以花前月下約好b值，但是在真實(shí)網(wǎng)絡(luò )環(huán)境中你和小紅根本沒(méi)有直接溝通的可能，所有溝通都要靠小明小李去傳紙條的話(huà)，怎么做才能躲過(guò)他們呢？這里就需要用到非對稱(chēng)加密算法了，這種算法有公鑰和私鑰一對鑰匙，公鑰是所有人都能獲取到的鑰匙，私鑰則是服務(wù)器私自保存的鑰匙。非對稱(chēng)加密算法中公鑰加密的內容只能用私鑰解密，私鑰加密的內容則只有公鑰才能解密。所以當你使用小紅的公鑰加密你的紙條之后，幫你傳遞紙條小明小李等人看到紙條也無(wú)法讀取內容了，只有擁有私鑰的小紅才能讀出你的信息。

對稱(chēng)加密算法在加密和解密時(shí)使用的是同一個(gè)秘鑰；而非對稱(chēng)加密算法需要兩個(gè)密鑰來(lái)進(jìn)行加密和解密，這兩個(gè)秘鑰是公開(kāi)密鑰（public key，簡(jiǎn)稱(chēng)公鑰）和私有密鑰（private key，簡(jiǎn)稱(chēng)私鑰）。你可能比較好奇非對稱(chēng)加密算法的原理，但是我這里不展開(kāi)講算法，有興趣的同學(xué)可以自行搜索。

那么問(wèn)題來(lái)了，小紅給你的回應也想加密怎么辦？如果小紅用她的私鑰加密的話(huà)，班上所有人都知道公鑰，而公鑰可以解私鑰的加密，也意味著(zhù)所有人都能解密小紅的回應消息。聰明的你一定想到了解決方案：利用非對稱(chēng)加密算法加密出一個(gè)對稱(chēng)密鑰給小紅，小紅用她的私鑰讀取對稱(chēng)密鑰，然后你們就用這個(gè)對稱(chēng)密鑰來(lái)做對稱(chēng)加密，然后就可以愉快地約約約了。當然，https也是這么干的。

通信雙方身份的真實(shí)性
加密之后貌似通信過(guò)程就完美了？且慢，小紅的公鑰是怎么公告天下的呢？

要知道在網(wǎng)絡(luò )環(huán)境中所有信息交互都是通過(guò)傳紙條的方式來(lái)進(jìn)行的，小紅的公鑰也不例外，萬(wàn)一在經(jīng)過(guò)小明手里的時(shí)候被掉包了怎么辦？怎么保證你手上的小紅公鑰是就是真正的小紅公鑰呢？看到班上的癡男怨女的紙條被各種掉包，文娛委員鳳姐決定挺身而出。鳳姐想出了一個(gè)辦法，所有加密通信都要帶上一本證，用來(lái)證明自己的身份。這本證是鳳姐特意為班上所有單身狗做的，公鑰就放在證書(shū)里面返回給紙條的發(fā)送者，證書(shū)里面除了公鑰還有學(xué)號、人名、甚至星座身高三圍等各種信息。證書(shū)上蓋了一個(gè)大大的鑒定章，這是鳳姐獨有的章，表示證上的信息真實(shí)性由鳳姐保證，看到這個(gè)章就可以認為對方是個(gè)真·單身狗。

通過(guò)這些信息你就可以知道對方是小紅還是如花了，這就是證書(shū)機制。顯然你會(huì )懷疑證書(shū)上鳳姐的公章是有可能被偽造的，懷疑有理！所以證書(shū)上的公章也是非對稱(chēng)加密過(guò)的，加密方式跟上面提到的剛好相反：用鳳姐的私鑰加密，用鳳姐公鑰就可以解密，這樣就可以鑒定證書(shū)的真偽。這個(gè)公章就是證書(shū)的數字簽名，具體來(lái)說(shuō)就是先將證書(shū)用哈希算法提取摘要，然后對摘要進(jìn)行加密的過(guò)程。另外你也可以直接拿著(zhù)證書(shū)去找鳳姐，鳳姐就會(huì )幫你驗證證書(shū)的有效性。（證書(shū)是有期限的，所以即使是真證書(shū)也會(huì )可能過(guò)期，需要注意）

這個(gè)機制看起來(lái)相當完善，但是我們要以懷疑一切的態(tài)度去做安全機制，鳳姐保證的東西是可信任的了，但是，鳳姐真的是鳳姐嗎？？？

所以，鳳姐本身也要由證書(shū)來(lái)保證，鳳姐的證書(shū)由班主任頒發(fā)，而班主任的證書(shū)由校長(cháng)頒發(fā)……這個(gè)鏈一直到最權威的幾個(gè)機構，這些機構在https體系中就是所謂的根CA。根是不可懷疑的權威，他們?yōu)樽约簬}，自己證明自己是自己。在https證書(shū)體系里面，根證書(shū)是操作系統/瀏覽器自帶的，我們可以相信被這些機構認證的證書(shū)的，從而一層一層推導到鳳姐這個(gè)級別。

另外，由于證書(shū)其實(shí)很容易做，地鐵口10塊一本，無(wú)論哈佛還是斯坦福，統統10塊！所以有些公司會(huì )自己做證書(shū)，根本不去找根CA機構，比如著(zhù)名的12306。你也可以自己做證書(shū)放到網(wǎng)上讓用戶(hù)下載導入瀏覽器，但因為你沒(méi)有鳳姐的影響力，所以沒(méi)人會(huì )相信你，當然也有人連鳳姐都不相信……

通信內容的完整性
密也加了，鳳姐也保證了，是不是這套機制就perfect了呢？

NoNoNo，想一下暗戀著(zhù)你的小明看到你給小紅傳紙條，心里肯定不爽，雖然看不懂但是還是可以改密文呀。本來(lái)你是要約小紅半夜三更操場(chǎng)見(jiàn)，結果小明刪掉了前半部分的密文，解密后恰好變成了“操場(chǎng)見(jiàn)”，然后小紅下課馬上往操場(chǎng)跑，而你卻跑回宿舍好好洗了個(gè)澡……然后，然后小紅就跟小明跑了。。。

這種篡改通信內容的場(chǎng)景相信大家都深有體會(huì )，我們訪(fǎng)問(wèn)一些站點(diǎn)的時(shí)候無(wú)緣無(wú)故就出現了運營(yíng)商的廣告，這都是運營(yíng)商給加的??！所以?xún)热莸耐暾砸残枰ＷC，這比較簡(jiǎn)單：先用哈希算法提取內容摘要，然后對摘要進(jìn)行加密生成數字簽名，驗證數字簽名就可以判斷出通信內容的完整性了。

以上幾點(diǎn)就是https用到技術(shù)的簡(jiǎn)化版，結合起來(lái)一個(gè)http通信流程如下：

大體步驟：客戶(hù)端發(fā)送Client Hello報文開(kāi)始SSL通信，報文中包含SSL版本、可用算法列表、密鑰長(cháng)度等。服務(wù)器支持SSL通信時(shí)，會(huì )以Server Hello報文作為應答，報文中同樣包括SSL版本以及加密算法配置，也就是協(xié)商加解密算法。然后服務(wù)器會(huì )發(fā)送Certificate報文，也就是將證書(shū)發(fā)送給客戶(hù)端?？蛻?hù)端發(fā)送Client Key Exchange報文，使用3中的證書(shū)公鑰加密Pre-master secret隨機密碼串，后續就以這個(gè)密碼來(lái)做對稱(chēng)加密進(jìn)行通信。服務(wù)器使用私鑰解密成功后返回一個(gè)響應提示SSL通信環(huán)境已經(jīng)搭建好了。然后就是常規的http c/s通信。

根據前文所述，在步驟3和步驟6都會(huì )使用摘要和簽名算法來(lái)保證傳遞的證書(shū)和通信內容不被篡改。通過(guò)這個(gè)流程可以看出，https的核心在于加密，尤其是非對稱(chēng)加密算法被多次使用來(lái)傳送關(guān)鍵信息。

理解了加密，認識到網(wǎng)絡(luò )的透明性，抱著(zhù)懷疑一切的態(tài)度，理解https這套體系就變得簡(jiǎn)單了。

結語(yǔ)
最近在系統地重溫http相關(guān)的東西，這一篇先介紹了https的基本原理，才疏學(xué)淺，文中有不當之處，還望斧正！后續會(huì )介紹實(shí)際應用、靜態(tài)服務(wù)器的配置等~

附錄

Q1：https如何避免中間人攻擊？
如果有人劫持了你的dns服務(wù)器，將http://wwe.icbc.com解析到他的非法網(wǎng)站，或者代理服務(wù)器將你導向他的非法網(wǎng)站去，這都是中間人攻擊。如果沒(méi)有https，那么攻擊就這樣發(fā)生了。那https怎么避免這類(lèi)攻擊？

答案是通過(guò)證書(shū)鑒別。
1. 在申請證書(shū)的時(shí)候CA會(huì )對所要申請的域名進(jìn)行控制權認證，所以你是不可能用隔壁老王的網(wǎng)站來(lái)申請證書(shū)的。就算你黑了他的站點(diǎn)，只要老王去申請證書(shū)就能發(fā)現了。
2. 如果偽造一個(gè)證書(shū)，這個(gè)證不是權威CA簽發(fā)的，那么瀏覽器檢查的時(shí)候會(huì )報警提示用戶(hù)證書(shū)非法。當然用戶(hù)仍然可以繼續操作，比如搶火車(chē)票什么的。
3. 如果你把真正站點(diǎn)的證書(shū)搞下來(lái)，證書(shū)上的域名不變，只是將公鑰替換掉，那么瀏覽器比對證書(shū)數字簽名的時(shí)候就能發(fā)現對不上了，二話(huà)不說(shuō)，報警。
4. 如果中間人直接用www.icbc.com的真實(shí)證書(shū)，那么他雖然能收到客戶(hù)端的消息，但是無(wú)法解密，所以也無(wú)法響應客戶(hù)端的請求，攻擊無(wú)效！

Q2:證書(shū)的數字簽名
之前對哈希算法和數字簽名了解不多，了解之后發(fā)現其實(shí)原理還是挺簡(jiǎn)單的。哈希算法可以將大量的數據轉換成定長(cháng)的摘要，而且摘要是與輸入對應的，輸入變化后摘要也會(huì )發(fā)生變化。所以對數據應用哈希算法求出摘要，比對摘要就可以判斷數據是否被篡改過(guò)了。證書(shū)使用了私鑰加密摘要，然后客戶(hù)端就可以用公鑰解密得到摘要，對比哈希算法算出來(lái)的摘要就可以判斷證書(shū)是否被篡改過(guò)。另一方面，因為公私鑰是成對的，篡改后的證書(shū)雖然能求出摘要，但是無(wú)法加密出簽名，所以摘要和加密組合使用就可以保證證書(shū)的真實(shí)性了。這里的私鑰是證書(shū)的發(fā)證機構的私鑰，也就是CA鏈上CA加密用戶(hù)服務(wù)器證書(shū)，上級CA加密下級CA的證書(shū)，從而形成一個(gè)信任環(huán)。