本文試圖以通俗易通的方式介紹Https的工做原理,不糾結具體的術語,不考證嚴格的流程。我相信弄懂了原理以後,到了具體操做和實現的時候,方向就不會錯,而後條條大路通羅馬。閱讀文本須要提早大體瞭解對稱加密、非對稱加密、信息認證等密碼學知識。若是你不太瞭解,能夠閱讀Erlang發明人Joe Armstrong最近寫的Cryptography Tutorial。大牛出品,通俗易懂,強力推薦。git
下圖裏我畫出了這幾個角色:
github
這一節經過介紹Https協議的工做流程,來講明Https是如何達成本身的兩個目的的。下圖我畫出了Https的工做流程,注意,這只是原理示意圖,並非詳細的協議解析。瀏覽器
能夠看到工做流程,基本分爲三個階段:安全
認證服務器。瀏覽器內置一個受信任的CA機構列表,並保存了這些CA機構的證書。第一階段服務器會提供經CA機構認證頒發的服務器證書,若是認證該服務器證書的CA機構,存在於瀏覽器的受信任CA機構列表中,而且服務器證書中的信息與當前正在訪問的網站(域名等)一致,那麼瀏覽器就認爲服務端是可信的,並從服務器證書中取得服務器公鑰,用於後續流程。不然,瀏覽器將提示用戶,根據用戶的選擇,決定是否繼續。固然,咱們能夠管理這個受信任CA機構列表,添加咱們想要信任的CA機構,或者移除咱們不信任的CA機構。服務器
協商會話密鑰。客戶端在認證完服務器,得到服務器的公鑰以後,利用該公鑰與服務器進行加密通訊,協商出兩個會話密鑰,分別是用於加密客戶端往服務端發送數據的客戶端會話密鑰,用於加密服務端往客戶端發送數據的服務端會話密鑰。在已有服務器公鑰,能夠加密通信的前提下,還要協商兩個對稱密鑰的緣由,是由於非對稱加密相對複雜度更高,在數據傳輸過程當中,使用對稱加密,能夠節省計算資源。另外,會話密鑰是隨機生成,每次協商都會有不同的結果,因此安全性也比較高。網絡
加密通信。此時客戶端服務器雙方都有了本次通信的會話密鑰,以後傳輸的全部Http數據,都經過會話密鑰加密。這樣網路上的其它用戶,將很難竊取和篡改客戶端和服務端之間傳輸的數據,從而保證了數據的私密性和完整性。網站
若是你是一個服務器開發者,想使用Https來保護本身的服務和用戶數據安全,你能夠按照如下流程來操做。加密