二狗子 、初戀及HTTPS

最近二狗子宅在老家，最清閒的就是泡壺茶看着院子的風景發呆一下午。今天，二狗子看到了對面本身暗戀的小翠花，看着美好的小翠花二狗子不由想起了本身美好的初戀。

二狗子的初戀在初中，那個時候學校禁止帶手機。上課交流靠三寶，腳踢屁股、筆戳後背和傳紙條。最危險的就是傳紙條，尤爲是早戀，被老師抓到就是一首《涼涼》，而後叫家長，又是一首《爸爸媽媽的愛》。

二狗子很聰明，就跟初戀商量了一下，加密一下小紙條上面的內容，這樣就算被班主任抓到也奈何不了。二狗子將英文字母和數字一一對應，組成一個密碼本，這樣小紙條上只寫數字，收到後要將數字翻譯成對應字母，再拼成拼音才能解密。

密碼本成就了二狗子美好的初戀，後來二狗子長大了，成了一名程序員，他才發現，網絡數據傳輸中的 HTTPS 其實也是相似的原理。

HTTPS的加密算法

聊 HTTPS 以前，咱們先來看下 HTTP 協議，HTTP 協議（HyperText Transfer Protocol），即超文本傳輸協議，是客戶端瀏覽器或其餘程序與 Web 服務器之間的應用層通訊協議 。

HTTPS，則是 HTTP over SSL，即 HTTP+SSL/TLS，能夠理解爲 HTTP 下加入 SSL 層，HTTPS 的安全基礎是 SSL，所以加密的詳細內容就須要 SSL，用於安全的 HTTP 數據傳輸。

上文中提到的傳小紙條，其實也算是一種加密算法，而在 HTTPS 中應用的加密算法主要有如下幾種：

一、對稱加密

有流式、分組兩種，加密和解密都是使用的同一個密鑰。

例如：DES、AES-GCM、ChaCha20-Poly1305 等

二、非對稱加密

加密使用的密鑰和解密使用的密鑰是不相同的，分別稱爲：公鑰、私鑰，公鑰和算法都是公開的，私鑰是保密的。非對稱加密算法性能較低，可是安全性超強，因爲其加密特性，非對稱加密算法能加密的數據長度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

三、哈希算法

將任意長度的信息轉換爲較短的固定長度的值，一般其長度要比信息小得多，且算法不可逆。

例如：MD五、SHA-一、SHA-二、SHA-256 等

四、數字簽名

簽名就是在信息的後面再加上一段內容（信息通過 hash 後的值），能夠證實信息沒有被修改過。hash 值通常都會加密後（也就是簽名）再和信息一塊兒發送，以保證這個hash值不被修改。

HTTPS 爲何安全

HTTP 請求過程當中，客戶端與服務器之間沒有任何身份確認的過程，數據所有明文傳輸，「裸奔」在互聯網上，因此很容易遭到黑客的攻擊。

圖中能夠看到，客戶端發出的請求很容易被黑客截獲，若是此時黑客冒充服務器，則其可返回任意信息給客戶端，而不被客戶端察覺，因此咱們常常會聽到一詞「劫持」。

上圖是 HTTPS 握手流程，能夠看到相比 HTTP，HTTPS 傳輸更加安全。

• 全部信息都是加密傳播，黑客沒法竊聽。
• 具備校驗機制，一旦被篡改，通訊雙方會馬上發現。
• 配備身份證書，防止身份被冒充。

而 HTTPS 一整套的加解密和校驗方案，主要從下面三個方面確保傳輸的安全。

1. 身份認證

傳輸以前首先經過數字證書來確認身份，各大 CA 廠商乾的就是這個事情。這裏涉及到一個名詞：數字證書。數字證書分爲公鑰和私鑰，CA 廠商會用本身的私鑰來給證書申請者簽發一套包含私鑰和公鑰的客戶證書，客戶的公鑰證書誰均可以獲取，裏面包含了客戶站點和證書的基本信息，用來確保訪問者訪問的就是他想要訪問的站點。

這個證書不能夠僞造嗎？答案是真的不能夠。

緣由一：系統早已內置了各大 CA 廠商的公鑰來校驗證書是不是對應的站點的證書，若是不是，就會給出證書不匹配的提示，除非你給別人的設備強行植入假的 CA 公鑰。

緣由二：這個證書是 CA 廠商經過哈希並加密獲得的，基本沒法逆向破解並僞造一個新的，除非是你黑進 CA 獲取了 CA 的私鑰，那這家 CA 也基本能夠倒閉了。

2. 數據保密

數據保密包括會話祕鑰傳輸時候的保密和數據的加密傳送。具體的加密方式就再也不贅述了。

3. 數據完整

身份認證成功後，到了數據加密傳輸的階段，全部數據都以明文（HTTP）收發，只不過收發的是加密後的明文。這時候也遇到了一個問題，雖然中間人很難破解加密後的數據，可是若是他對數據進行了篡改，那該怎麼辦？此時加密套件驗證數據一致性的哈希算法就派上用場了，哈希算法有多種，好比 MD5 ，SHA1 或者 SHA2 等，上面舉例的加密套件使用的是 SHA2 中的 SHA256 來對數據進行哈希計算。這樣就使得任何的數據更改都會致使通訊雙方在校驗時發現問題，進而發出警報並採起相應的措施。

如何將 HTTP 升級爲 HTTPS？

部署 HTTPS 須要如下三個必要條件或步驟：

• 申請 SSL 證書，你能夠選擇收費或者免費的的 SSL 證書，不一樣類型的 SSL 證書安全程度不盡相同。
• 部署 SSL 證書，又拍雲提供一鍵部署，平臺全局自動化管理，採用了最優質的 HTTPS 加速解決方案，可幫助用戶以最低的成本，享受最優的服務，完成網站 HTTP 到 HTTPS 的轉換。
• 將網站全部 HTTP 連接更換爲 HTTPS。

又拍雲是衆多雲廠商中惟一一家提供兩款免費的 SSL 證書的雲廠商，同時也提供各類付費證書的購買。最近全新上線了 GlobalSign SSL 證書，GlobalSign 成立於 1996 年，是一家聲譽卓著，備受信賴的 CA 中心和 SSL 數字證書提供商，在全球總計頒發超過 2000 萬張數字證書。偷偷的告訴你，最近 GlobalSign SSL 證書全新上線，有很是大的促銷力度哦~

推薦閱讀

凡人自保指南：武漢肺炎的我的防禦、裝備選擇與使用建議

爲何 HTTPS 比 HTTP 安全