淺談https

https是什麼/http及https的區別／https的做用/https的原理／在本身本地怎麼開啓https／網站如何適配https／開啓https以後對網站的速度有什麼影響/怎樣使瀏覽器默認用https打開網頁

https是什麼？

https是http的加密版本，是在http請求的基礎上，採用ssl進行加密傳輸。http默認是80端口，而https默認是443端口。

http及https的區別

以下圖所示，https在http多出了一個安全層的概念。而且http是明文傳輸，很容易被竊聽，被篡改，被冒充。而在https裏面的加密，簽名，證書能夠很完美地解決這些問題。

https的原理

在瞭解https的原理以前，須要先了解下面幾個重要的概念。

1.非對稱加密：加密和解密的祕鑰不同。計算量大，速度慢。（只有在協商對稱祕鑰時採用到。）
2.對稱加密：加密和解密的祕鑰同樣。計算量小，速度快。（只有在通訊時候纔用到。）
3.簽名：爲了防止被篡改。
4.數字證書：爲了防止被冒充，須要去CA申請證書。

接下來就要用一個頗有名的bob和他的三個朋友的故事先來鋪墊一下原理。
以下圖所示，bob有三個朋友Pat,Doug,Susan。

1. bob想要跟他的朋友通訊，可是不想用明文傳輸，以避免其餘人竊聽。因而他建立了兩個鑰匙。一個私鑰，一個公鑰。私鑰本身留着。公鑰發給他的朋友們。他朋友們發給他的信息加密以後，bob能夠用私鑰解密查看。bob加密發送信息給他的朋友們以後，朋友們能夠用公鑰解密查看。
2. 可是bob發現，由於他的公鑰是公共的，他發送給朋友的信息可能會被別人篡改。因而他把新的內容hash處理以後再用私鑰加密成簽名，一塊兒發送給朋友。朋友得到信息以後，用公鑰解密簽名獲得Digest。而後再用一樣的hash去解密內容得到Digest。最後看這兩個Digetst是否相等。若是相等則內容未被修改。如圖中2所示。
3. 可是有一個同窗Tony獲取了bob的公鑰以後冒充bob去跟susan通信。被bob發現了以後他去第三方證書中心作認證。證書中心用本身的私鑰對Bob的公鑰和其它信息作了一次加密。這樣Bob經過網絡將數字證書傳遞給他的小夥伴後，小夥伴們先用CA給的公鑰解密證書，這樣就能夠安全獲取Bob的公鑰了。

可是，其實https的通訊會比上面複雜不少，能夠看下面的圖片。

1. 瀏覽器嚮往服務器的443端口發起請求，請求攜帶了瀏覽器支持的加密算法及哈希算法。
2. 服務器收到請求，服務器會選擇瀏覽器支持的加密算法和哈希算法。
3. 服務器下將數字證書返回給瀏覽器，這裏的數字證書能夠是向某個可靠機構申請的，也能夠是自制的。
4. 瀏覽器進入數字證書認證環節，這一部分是瀏覽器內置的TLS完成的：
   4.1 首先瀏覽器會從內置的證書列表中索引，找到服務器下發證書對應的機構，若是沒有找到，此時就會提示用戶該證書是否是由權威機構頒發，是不可信任的。若是查到了對應的機構，則取出該機構頒發的公鑰。
   4.2瀏覽器生成一個隨機數R，並使用網站公鑰對R進行加密
5. 瀏覽器將加密的R傳送給服務器。
6. 服務器用本身的私鑰解密獲得R。
7. 服務器以R爲密鑰使用了對稱加密算法加密網頁內容並傳輸給瀏覽器。
8. 瀏覽器以R爲密鑰使用以前約定好的解密算法獲取網頁內容。

如圖所示，1-5步是https的握手過程，他是用非對稱加密算法獲取了祕鑰R。在6-8步是服務器及瀏覽器的通訊過程，是用祕鑰R進行對稱加密通訊。

本地怎麼開啓https？

生成私鑰和證書

1. 首先，進入你想建立證書和私鑰的目錄，
2. 建立服務器私鑰，命令會讓你輸入一個口令：
   openssl genrsa -des3 -out server.key 1024
3. 建立簽名請求的證書（CSR）：
   openssl req -new -key server.key -out server.csr
4. 在加載SSL支持的Nginx並使用上述私鑰時除去必須的口令：
   cp server.key server.key.org
   openssl rsa -in server.key.org -out server.key
5. 最後標記證書使用上述私鑰和CSR：
   openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

配置nginx

重啓nginx後在打開網頁便會獲得下面的提示

固然，chrome能夠配置信任證書，這個能夠百度～

網站如何適配

http資源沒法加載。js文件會直接提示加載不到。圖片等文件會提示報警mixed content。固然，以前chrome有個版本是在https的網頁，直接不顯示圖片。後來爲了用戶體驗，顯示圖片可是會警告。
而在咱們的網站中，在加載資源時，是須要協議頭便可。頁面會自適應在http時自動添加http頭，https時自動添加https頭。

https速度影響

https須要加密解密，須要交換私鑰／公鑰，確定須要消耗時間。據統計，通常https的鏈接時間是http的三倍。

怎樣使瀏覽器默認用https打開網頁

HTTP strict transport security：該協議會使瀏覽器默認採用https訪問。以下圖天貓的加載。