https的基本原理

這篇文章主要講解了“https的基本原理”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“https的基本原理”吧！

隨著谷歌瀏覽器對https證書的大力推行，幾乎所有大型網站都部署了https證書，我們在開發時，也時常會用到https，比如開發微信小程序，微信官方要求小程序內部發送異步請求必須是https協議。

https好處多多，用https協議傳輸信息，信息的安全性會得到保障，用http傳遞信息幾乎等于裸奔了，如圖所示：

https在傳輸信息的時候是需要對信息進行加密的。https用到的加密方式有兩種，分別是對稱加密和非對稱加密，首先咱們看一下對稱加密的圖解：

對稱加密有個特點，端點兩端的秘鑰是一樣的，不能被第三方知道。

但是大家仔細觀察，對稱加密有個缺點，那就是就是秘鑰如何交換。這句話的意思是指，客戶端如何把秘鑰交給服務端，或者服務端如何把秘鑰交給客戶端，但是不能被第三方知道，因為第三方也得到了這個秘鑰，那么信息就不安全了。

因為只有客戶端和服務端都知道秘鑰才能實現加密解密，如果只有客戶端或者只有服務端其中一方持有秘鑰，是不能完成加密解密整個過程的。

那么這個問題如何解決呢？先擱置一邊，下面看一下非對稱加密。

非對稱加密需要兩把不同的秘鑰，這點和對稱加密不同，分別是一把私鑰，一把公鑰，并且這兩把鑰匙是配對的。公鑰私鑰有如下幾個特性：

1、公鑰加密必須使用與其匹配的私鑰才能解密

2、私鑰加密必須使用與其匹配的公鑰才能解密

3、私鑰必須嚴格保密，不能泄露，非對稱加密建立在私鑰嚴格保密的基礎上。

4、公鑰可以隨意分發給任何人。

非對稱加密相較于對稱加密，主要的作用是彌補了對稱加密秘鑰分發的問題。

我們用一張圖來演示一下非對稱加密：

從圖中我們可以看到，非對稱加密的公鑰可以隨意分發給任何人，私鑰必須自己保存，不能交給別人，在信息進行交互的時候，我們只要用公鑰加密私鑰解密，或者私鑰加密公鑰解密即可。

上面的方案看上去很美，但是有兩個非常大的漏洞無法解決：

1、公私鑰加密解密是非常耗時的，而web的用戶體驗不允許我們直接使用公私鑰加密

2、公鑰的分發是個問題，假如服務器端將公鑰作為響應發送給客戶端，但是這個過程被一個中間人劫持了，然后中間人假裝服務器，給客戶端發送了一個假的公鑰，客戶端并不知道中間人的存在，使用假的公鑰加密信息，中間人拿到后用和假公鑰匹配的私鑰解密，信息就泄露了，過程如圖：

觀察圖中的中間人，中間人劫持了真的公鑰，自己生成一對公私鑰，用這對公私鑰和客戶端溝通交流，完全以假亂真。

我們可以將對稱加密和非對稱加密結合起來使用，用非對稱加密方式來交換對稱加密用的秘鑰，然后用對稱加密的秘鑰來加密交互信息。

這里還有一點大家需要注意，https的加密必須借助第三方來實現，也就是CA證書，為什么需要這個東西呢？

因為我們將公鑰分發出去的時候為了防止被中間人替換或者竊取，需要對公鑰做特殊處理，這個特殊處理通常就是加密，但是加密后，加密的秘鑰如何給到客戶端呢？這就形成了一個無限的死循環，所以需要引入第三方機構，CA證書機構。

大家的操作系統和瀏覽器都內置了各大權威證書的公鑰也就是CA的公鑰，簡而言之就是我們的操作系統內置CA的公鑰，我們要做的就是去這些機構申請我們的公鑰證書，這個證書是被和CA的公鑰匹配的CA私鑰加密過的。

當客戶端和服務器端進行通信的時候，服務器端將公鑰證書發送給客戶端，客戶端拿到證書，用系統和瀏覽器內置的權威CA公鑰解密驗證證書，得到服務器的公鑰。

然后用服務器公鑰加密對稱秘鑰發送到服務器端，服務器用服務器自己的私鑰解密得到對稱秘鑰，這樣就可以用對稱秘鑰進行數據交換了。

流程圖如下：

仔細觀察上面這張圖：

第一步、客戶端發送請求，服務器將證書發送給客戶端，證書的本質是第三方CA的私鑰加密的內容，其內容是服務器的公鑰。

第二步、客戶端接收到證書后，用操作系統和瀏覽器內置的CA公鑰去匹配驗證證書，如果能解密，說明網站安全

第三步、用CA公鑰解密證書，并將服務器公鑰解密出來。到這一步，客戶端安全的拿到了服務器端的公鑰。

第四步、生成隨機數，用服務器公鑰加密隨機數發送到服務器端。

第五步、服務器端用服務器私鑰解密信息，得到隨機數

剩下的步驟，客戶端和服務器端都有了相同的隨機數，也就是有了相同的對稱秘鑰，就可以安全通信了。

感謝各位的閱讀，以上就是“https的基本原理”的內容了，經過本文的學習后，相信大家對https的基本原理這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！