小白学安全之HTTPS

也许一个时代即将来临

2018年7月，Google即将发布新版本Chrome68，在这个版本中，Chrome会将所有的 HTTP 站点标记为“不安全”。这意味着当你浏览之前熟悉的网页（如12306）时，会收到浏览器的不安全提示。

以Chrome的近60%的个人电脑市场占有率，这几乎会引领一个时代，会强迫更多的公司将网站从HTTP转换为HTTPS。设想一下，两个竞争公司的官网，一个提示安全一个提示不安全，带来的将是毁灭性的打击。

为什么HTTPS是安全的

简单来讲HTTPS就是HTTP+SSL（或TLS），通加入SSL至少可以解决以下安全问题：

1.  通信数据明文传输问题；

简单讲一下对称加密与非对称加密：简而言之，对称加密就是加密与解密使用了相同的密钥，非对称加密的加密与解密使用了不同密钥。

再简单讲一下SSL：SSL全程为安全套接层（SecureSockets Layer），使用非对称加密算法 RSA、ECC等。理论上非对称加密算法可破解，但以目前的计算能力破解2048位的RSA可能要80年（也许以后量子计算可以秒了RSA），所以目前来说，SSL依然时安全的。

由于使用了HTTPS协议的网站与客户端之间的数据都是经过SSL加密的，所以解决了通信过程中的机密性与完整性的问题。

2.  信任问题。

使用了HTTPS的网站具有可以公开的公钥，这个公钥相当于我们的身份证，网站将公钥去第三方权威机构（CA，CertificationAuthority）进行认证，这个CA相当于我们的公安局。同样由于非对称加密算法如RSA的原因，想破解出这个公钥对应的私钥是相当困难的，我们信任权威机构CA，就信任了CA给与网站的身份证明。

总而言之，CA可以证明你是你自己，360是360。

HTTPS是怎么工作的

非对称加密算法是相对安全的，但却也耗费很多系统资源。相比之下，对称加密使用系统资源较少，适合于大量数据或批量数据的加密。

为了同时保证通信过程的安全性与可用性，HTTPS选择了折中的方案，即使用非对称加密算法加密对称加密算法的密钥，有点绕，可以看下图了解工作过程。

HTTPS工作过程有以下几个步骤：

1.  浏览器请求HTTPS网站，同时携带浏览器支持的加密算法类型；

2.  服务器接到请求，确定加密算法；

3.  服务器将数字证书反馈之浏览器；

4.  浏览器认证数字证书，并生会话密钥R（对称加密），使用服务器公钥将会话密钥加密；

5.  浏览器将密文发送至服务器；

6.  服务器使用私钥进行解密得到会话密钥R；

7.  服务器使用会话密钥R将网页内容反馈之浏览器；

8.  浏览器使用会话密钥R解密，获得网页内容。

总结

至此，HTTPS的介绍就讲的差不多了，目前全世界人民愈加重视安全，相信到2018年7月后，Google将会引领一波潮流，将HTTP拍死在沙滩上。