HTTPS 通訊原理

Http 協議明文通訊是不安全的

Http 協議是明文通訊，數據在通訊鏈路上可能會被劫持或者篡改

既然數據存在被暴露的風險，咱們想到的第一個方案可能就是對數據進行加密

對稱加密

咱們使用對稱加密的方式來加密登陸信息此時若是被劫持了的話，劫持者沒有對稱密匙，那麼他就沒法解密和篡改你的信息。可是因爲對稱密匙也是明文發佈的，這個密匙若是也被劫持者劫持的話，那麼劫持者仍是能夠竊取和篡改你傳輸的數據

出現這個問題的根源在於密匙暴露在了互聯網中，固然這裏可能有小夥伴想到就是將和服務端約定好固定的對稱密匙，分別藏於客戶端和服務端中這樣就沒必要在互聯網中傳輸，這樣的形式存在幾個問題就是，首先對稱密匙藏於服務端這確定是安全的，除非你服務器信息泄露，那麼將對稱密匙藏於藏於網頁中代碼中，別人能夠很容易的查看到。若是藏於安卓或者 IOS 中，會存在必定的反編譯成本可是密匙也是有可能也會泄露的，因此說這種方式並不靠譜

對稱加密它的優勢是它的加密解密速度快

非對稱加密

考慮到對稱加密用單個密匙加解密會存在暴露的風險，咱們將密匙分爲 2 個，保存在服務端私有的叫作私有密匙，發送給客戶端的叫作公有密匙。

私有密匙只保存服務端是安全的，公有密匙明文暴露給全部客戶端或者劫持者都能拿到

咱們使用公鑰進行加密，私鑰進行解密，此時由於劫持者沒有私鑰，他就沒法修改客戶端傳來的數據，也沒法解密這個數據

這樣確實是保證了客戶端發送對服務端的數據的安全，可是服務端若是要返回給客戶端數據呢？客戶端但是沒有私鑰進行解密的，根據對稱加密中的講解咱們知道把祕鑰放在客戶端是不安全的，因此這種方式也不可行

非對稱加密比較安全，可是他的加解密複雜度相對較高比對稱加密慢多了

混合加密

對稱加密加解密效率高，非對稱加密安全性強，咱們綜合兩者來進行加密的方式就叫作混合加密

這樣複雜的非對稱加密只會在最開始解析一次，後面就使用效率高的對稱加密。可是這還有一個問題就是，服務器下發的公鑰是明文可能被任何人獲取到的，好比這樣

到這一步咱們就會發現只須要保證客戶端接收到的公鑰確實是服務器下發的就能解決安全問題，由此咱們引出了 HTTPS，HTTPS 就能夠看作是一種混合加密可是他保證了公鑰的安全

HTTPS

HTTPS 是一種加密的 HTTP 協議，它在 HTTP 傳輸協議 tcp 基礎上增長了一層 SSL 層也叫做 TLS 層用於構建加密的傳輸信道

HTTPS 的認證方式有 2 中分別爲單向認證和雙向認證，咱們這裏來聊聊單向認證，雙向認證其實就是反過來驗證而已，好比單向認證是客戶端須要去認證服務端是否真實，雙向認證就是服務端也須要去認證客戶端是否真實

操做系統和瀏覽器會內置一些權威機構頒發的證書和其公鑰信息

若是服務端返回的證書被篡改

在客戶端內置 CA 機構證書以及公鑰，經過證書 hash 算法去 hash 公鑰解密數據獲得後的數據就會和從服務器獲得證書的 hash 值不一致，也就是檢查出了證書被篡改

不要隨便安裝根證書

服務器下發的證書是用於證實本身的身份的，好比咱們的請求被中間人截胡了它返回的證書等信息給客戶端，在客戶端在內置的 CA 機構中沒法找到，此時它的身份識別錯誤，可是若是咱們不當心誤安裝了中間人頒發的根證書，那麼它就能夠識別和篡改咱們發送的信息。

好比咱們知道 Charles 能夠經過安裝其根證書來抓包 HTTPS 數據