小程序、APP Store 須要的 SSL 證書是個什麼東西？

SSL 爲何讓 HTTP 更安全

從前山上有座廟，廟裏有個和尚......，別胡鬧了，老和尚來了。

小和尚問老和尚：ssl 爲何會讓 http 安全？

老和尚答道：譬如你我都有一個一樣的密碼，我發信給你時用這個密碼加密，你收到我發的信，用這個密碼解密，就能知道我信的內容，其餘的閒雜人等，就算偷偷拿到了信，因爲不知道這個密碼，也只能望信興嘆，這個密碼就叫作對稱密碼。

ssl使用對稱密碼對http內容進行加解密，因此讓http安全了，經常使用的加解密算法主要有3DES和AES等。

小和尚摸摸腦殼問老和尚：師傅，若是咱們兩人選擇「和尚」做爲密碼，再創造一個和尚算法，咱們倆之間的通訊不就高枕無憂了？

老和尚當頭給了小和尚一戒尺：那我要給山下的小花寫情書，還得用「和尚」這個密碼不成？想了想又給了小和尚一戒尺：雖然咱們是和尚，不是碼農，也不能本身造輪子，當初一堆牛人碼農造出了Wifi的安全算法WEP，後來發現是一繡花枕頭，在安全界傳爲笑談；何況小花只知道3DES和AES，哪知道和尚算法？

小和尚問到：那師傅何解？老和尚：我和小花只要知道每封信的密碼，就能夠讀到對方加密的信件，關鍵是咱們互相之間怎麼知道這個對稱密碼。

你說，我要是將密碼寫封信給她，信被別人偷了，那你們不都知道咱們的密碼了，也就可以讀懂咱們情書了。不過仍是有解的，這裏我用到了江湖中祕傳的非對稱密碼。

我如今手頭有兩個密碼，一個叫「公鑰」，一個叫「私鑰」，公鑰發佈到了江湖上，好多人都知道，私鑰嘛，江湖上只有我一我的知道；這兩個密鑰有數學相關性，就是說用公鑰加密的信件，能夠用私鑰解開，可是用公鑰卻解不開。

公鑰小花是知道的，她每次給我寫信，都要個人公鑰加密她的對稱密碼，單獨寫一張密碼紙，而後用她的對稱密碼加密她的信件，這樣我用個人私鑰能夠解出這個對稱密碼，再用這個對稱密碼來解密她的信件。

老和尚頓了頓：惋惜她用的對稱密碼總是「和尚爲何寫情書」這一類，因此我每次解開密碼紙時老是悵然若失，其實我鐘意的對稱密碼是諸如「風花」「雪月」什麼的，最頭痛的是，我還不得不用「和尚爲何寫情書」這個密碼來加密我給小花回的情書，人世間最痛苦的事莫過於如此。

可我哪裏知道，其實有人比我更痛苦。

山下的張屠夫，暗戀小花不少年，看着咱們鴻雁傳書，心中很不是滋味，主動毛遂自薦代替香客給咱們送信。

在他第一次給小花送信時，就給了小花他本身的公鑰，謊稱是我公鑰剛剛更新了，小花信覺得真，以後的信件對稱密碼都用張屠夫的這個公鑰加密了，張屠夫拿到回信後，用他本身的私鑰解開了小花的對稱密碼，而後用這個對稱密碼，不只可以看到了小花信件的全部內容，還能使用這個密碼僞造小花給我寫信，同時還能用他的私鑰加密給小花的信件。

漸漸我發現信件變味了，儘管心生疑惑，可是沒有確切的證據，一次我寫信問小花第一次使用的對稱密碼，回信中「和尚爲何寫情書」赫然在列，因而個人疑惑稍稍減輕。

直到有一次去拜會嵩山少林寺老方丈才頓悟，原來因爲個人公鑰沒有火印，任何人均可以僞造一份公鑰宣稱是個人，這樣這我的即能讀到別人寫給個人信，也能僞造別人給我寫信，一樣也能讀到個人回信，也能僞造我給別人的回信，這種邪門武功江湖上稱之「Man-in-the-middle attack」。

惟一的破解就是使用嵩山少林寺的火印，這個火印可有講究了，須要將個人公鑰及我的在江湖地位提交給18羅漢委員會，他們會根據個人這些信息使用委員會私鑰進行數字簽名，簽名的信息凸如今火印上，有火印的公鑰真實性在江湖上無人質疑，要知道18羅漢但是無人敢得罪的。

小和尚問：那而後呢？老和尚：從嵩山少林寺回山上寺廟時，我將有火印的公鑰親自給小花送去，但是以後再也沒有收到小花的來信。

過了一年才知道，其實小花仍是給我寫過信的，當時信確實是用有火印的公鑰加密，張屠夫拿到信後，因爲不知道個人私鑰，解不開小花的密碼信，因此一怒之下將信件所有燒燬了。

也因爲張屠夫沒法知道小花的對稱密碼而沒法回信，小花發出幾封信後石沉大海，也心生疑惑，處處打聽個人近況。

這下張屠夫急了，他使用我發佈的公鑰，仿照小花的語氣，給我發來一封信。拿到信時我就以爲奇怪，信紙上怎麼有一股豬油的味道，結尾居然還關切的詢問個人私鑰。

情知有詐，我思量不管如何要找到辦法讓我知道來的信是否真是小花所寫。後來居然讓我想到了辦法....老和尚摸着光頭說：這頭髮可不是白掉的，我託香客給小花帶話，我一切安好，但願她也擁有屬於本身的一段幸福，不對，是一對非對稱密鑰。

小花委託小鎮美女協會給小花公鑰打上火印後，託香客給我送來，這樣小花在每次給我寫信時，都會在密碼紙上貼上一朵小牡丹，牡丹上寫上用她本身的私鑰加密過的給個人留言，這樣我收到自稱是小花的信後，我會先抽出密碼紙，取下小牡丹，使用小花的公鑰解密這段留言，若是解不出來，我會直接將整封信連同密碼紙一塊兒扔掉，由於這封信必定不是小花寫的，若是可以解出來，這封信才能確信來之於小花，我才仔細的解碼閱讀。

小和尚：難怪據說張屠夫是被活活氣死的。您這情書整的，我頭都大了，我長大後，有想法直接扯着嗓子對山下喊，也省的這麼些麻煩。不過我卻是明白了樓上的話，ssl 握手階段，就是要解決什麼看火印，讀牡丹，解密碼紙，確實夠麻煩的，因此性能瓶頸在這裏，一旦雙方都知道了對稱密碼，以後就是行雲流水的解碼讀信階段了，相對輕鬆不少。

（轉載自：https://www.zhihu.com/question/21518760/answer/19698894 ，內容有刪改。）

使用 HTTPS 有什麼好處？

1. 小程序 和 蘋果應用商店目前要求必須 HTTPS
2. 在瀏覽器顯示綠標。

在 chrome 68 以上的瀏覽器中，http 已經被標註爲不安全，若是用戶瀏覽網站時有這樣的提示，會對網站產生很差的影響。

3. 防止流量劫持。

現在流量劫持愈加嚴重，針對 http 插入廣告，甚至針對 http 強制跳轉到其餘網頁，而且已經能夠控制哪些時間段跳轉，每一個設備跳轉幾回，以加強隱蔽性。龐大的利益鏈使得流量劫持極爲嚴重。

4. 固然是安全了，HTTPS 能有效防止中間人攻擊。

5. 對於拓展驗證來講，支持在瀏覽器裏直接顯示綠條。

如何部署 HTTPS ？

請從 https-start 獲取各大 HTTP 服務器的配置文件和部署說明。

歡迎 star