HTTPS协议详解

（加密方式、证书原理、中间人攻击）

HTTPS协议的加密方式有哪些？

HTTPS证书的原理是什么？

如何防止中间人攻击？

一：HTTPS基本介绍：

1. HTTPS是什么：

HTTPS 也是一个应用层协议，是在HTTP 协议的基础上引入了一个加密层。HTTP 协议内容都是按照文本的方式明文传输的，这就导致在传输过程中出现一些被篡改的情况。

具体：HPPT + S (SSL/TLS) 这个也是一个应用层协议，专门用来加密。

2.运行商劫持：

由于我们通过网络传输的任何的数据包都会经过运营商的网络设备(路由器、交换机等)，那么运营商的网络设备就可以解析出你传输的数据内容，并进行篡改，点击“下载按钮”，其实就是在给服务器发送了一个 HTTP 请求，获取到的 HTTP 响应其实就包含了该 APP 的下载链接。运营商劫持之后，就发现这个请求是要下载天天动听，那么就自动的把交给用户的响应 给篡改成 “QQ浏览器”的下载地址了。

3.运行商为什么要进行劫持？

不止运营商可以劫持，其他黑客也可以用类似的手段进行劫持，以窃取用戶隐私信息或者篡改内容。在互联网上，明文传输是危险的事情。HTTPS 就是在 HTTP 的基础上进行了加密，进一步的来保证用户的信息安全。

4.什么是加密：

加密：就是把明文 (要传输的信息)进行一系列变换, 生成密文 。

解密：就是把密文再进行一系列变换，还原成明文。

二.HTTPS的加密方式:

1.对称加密：

加密和解密使用同一个密钥。

对称加密需要把对称密钥传输给对端，对方才可以根据这个对称密钥，进行加密解密，构造请求和响应也是通过对称密钥加密传输过去。

痛点：对称密钥也是明文传输的，可能被黑客和运营商劫持。对称密钥一旦被黑客和运营商拿到就没有意义了。所以需要引入非对称加密。

2.非对称加密： (服务器会自己生成一对公钥和私钥)

思想：把对称密钥再包一层进行加密传输，黑客要拿到私钥才可以。但是私钥是服务器自己持有不会公开，因此无法通过解密拿到对称密钥。

具体加密方式：

有两个密钥，即公钥和私钥。服务器自动生成的私钥黑客无法获得，只有服务器自己持有，公钥则是公开的，任何人都可以获得。在此，通过公钥给对称密钥进行加密，再通过私钥对公钥进行解密，才可以拿到里面的对称密钥。

注意：这里如果直接全部用非对称加密进行加密，效率会很慢，所以我们都是两个加密方式都采用。

三. 证书原理说明：

1.上述加密方式还不够安全，可能会被“中间人攻击”

说一下中间人攻击：

被入侵的中间运营商设备，会自己生成一对公钥和私钥，在客户端询问服务端时，会把这个 “假公钥” 给客户端，客户端误以为是服务端发来的，就拿着该“假公钥” 将对称密钥进行加密，这样运营商/黑客就拿到了对称密钥。 黑客会继续拿着服务端发来的 “真公钥”加密对称密钥发送给服务器，实现偷梁换柱。

2.校验机制 (证书)：

中间人攻击主要是因为客户端区分不了收到的公钥是服务器真实的公钥，还是“假公钥”。

引入校验机制就是来解决这个问题，我们安装fiddler就相当于授权。

3.证书是什么：

证书是第三方机构给服务器颁发的证书，需要服务器就行申请。

4.证书的内容：

(1).服务器的IP地址，域名

(2).服务器的公钥

(3).证书的有效期是多久

(4).证书的有效期是多久

(5).证书的数字签名

5.数字签名：

实际上是一个被加密的校验和，通过这个校验和来让服务器识别 “真公钥” 来防止中间人攻击。第三方机构将这个校验和用自己生成的私钥进行加密，客户端通过第三方机构生成的公钥进行解密获取这个校验和。

6.证书的工作原理：

客户端会向服务器要证书，这个时候客户端就拿到了证书，拿到后会根据自己从服务端拿到的信息“主要是公钥”根据证书中的内容->服务器的IP地址、域名、服务器的公钥等进行计算算出一个校验和，拿着这个校验和与证书上的校验和进行比较。

如果发现校验和，不一样就会报错证书无效。

补充：证书的数字签名中的校验和是通过拿到第三方生成的公钥进行解密拿到的。