HTTPS

HTTPS

网络安全背景

网络就是实现不同主机之间的通讯。，最初是利用TCP/IP协议来满足两台在主机之间的通讯，但为了真正实现两台主机之间的稳定可通讯，就是一件困难的事情了，如果还要在通讯的基础上保证数据传输的安全，就更难了。
早期的传输协议： FTP，HTTP，SMTP，Telnet等，都属于明文传输，很方便的就被别人截取到传输的数据包，没有安全性，
后来就出现了加密大通讯方式， SSH，HTTPS

网络安全涉及问题

数据机密性

在网络传输数据信息时，对数据的加密是至关重要的，否则所有传输的数据都是可以随时被第三方看到，完全没有机密性可言。

数据机密性示意图

数据完整性

网络传输数据的完整性，也是安全领域中需要考虑的重要环节，如果不能保证传输数据的完整性，那传输过程中的数据就有可能被任何人所篡改，而传输数据双方又不能及早的进行发现。

将会造成互连通讯双方所表达信息的意义完全不一致。因此，对于不完整的数据信息，接收方应该进行相应判断，如果完整性验证错误，就拒绝接收相应的数据。

身份验证问题

网络中传输数据时，很有可能传输的双方是第一次建立连接，进行相互通讯，既然是第一次见面沟通，如何确认对方的身份信息，的确是我要进行通讯的对象呢？

如果不是正确的通讯对象，在经过通讯后，岂不是将所有数据信息发送给了一个陌生人。

解决如上问题

网络数据的安全传输通常会面临以下几方面的威胁：
数据窃听与机密性： 即怎样保证数据不会因为被截获或窃听而暴露。
数据篡改与完整性： 即怎样保证数据不会被恶意篡改。
身份冒充与身份验证： 即怎样保证数据交互双方的身份没有被冒充。

数据加密方式	描述	主要解决的问题	常用算法
对称加密	指数据加密和解密使用相同的密钥	数据的机密性	DES, AES
非对称加密	也叫公钥加密，指数据加密和解密使用不同的密钥--密钥对儿	身份验证	DSA，RSA
单向加密	指只能加密数据，而不能解密数据	数据的完整性	MD5，SHA系列算法

对称加密

对称加密算法，如其名，就是使用同一个秘钥进行加密和解密。

优点是速度较快，适合对数据量比较大的数据进行加密。

缺点是密钥的保存方式需要保证，一旦加密或者解密的哪一方泄漏了密钥，都会导致信息的泄漏。

常用的对称加密算法有:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6、AES。

非对称加密

非对称加密，加密，解密，必须使用一个公开的公钥（public key）一个必须保护好的私钥（private key）。

公钥、私钥、成对出现，通过公钥加密的数据，只能用该私钥解密。

HTTPS协议

HTTPS协议不是单独的协议，而是基于HTTP+SSL或者HTTP+TLS的组合协议。

SSL 的全名是 Secure Sockets Layer  安全套接字层

TSL (Transport Layer Security） 安全传输层协议

作用

不使用SSL/TLS的HTTP通信，就是不加密的通信。所有信息明文传播，带来了三大风险。

（1） 窃听风险（eavesdropping）：第三方可以获知通信内容。

（2） 篡改风险（tampering）：第三方可以修改通信内容。

（3） 冒充风险（pretending）：第三方可以冒充他人身份参与通信。

SSL/TLS协议是为了解决这三大风险而设计的，希望达到：

（1） 所有信息都是加密传播，第三方无法窃听。

（2） 具有校验机制，一旦被篡改，通信双方会立刻发现。

（3） 配备身份证书，防止身份被冒充。

互联网是开放环境，通信双方都是未知身份，这为协议的设计带来了很大的难度。

而且，协议还必须能够经受所有匪夷所思的攻击，这使得SSL/TLS协议变得异常复杂。

HTTPS解析流程

1. 服务端有一对儿数字证书，包含私钥、公钥，也被称为CA证书，这个证书由专门的证书服务商提供，受互联网信任。（也可以自己创建CA证书，但是没人认。。）

2. 客户端发起https://请求，默认端口443

3. 服务端接收到请求后自动将自己的CA证书发给客户端

4. 客户端收到CA证书后，浏览器自动判断，是否在有效期内，是否受互联网信任，信任就是小绿锁，否则就是红色大叉。

5. 客户端如果验证证书通过、此时会【生成一个随机数】通过公钥对随机数加密

6. 客户端将这个【公钥加密后的随机数】发给服务端

7. 服务端接到这个【公钥加密后的随机数】后，使用自己的随机数解密，确认建立连接，后续的所有数据交互，通过这个随机数实现数据【对称加密】。

HTTPS证书购买平台

各大云厂商
阿里云 https://yundun.console.aliyun.com/
腾讯云  https://buy.cloud.tencent.com/ssl

证书类型与区别

DV类型证书：中文全称是域名验证型证书，证书审核方式为通过验证域名所有权即可签发证书。此类型证书适合个人和小微企业申请，价格较低，申请快捷，但是证书中无法显示企业信息，安全性较差。在浏览器中显示锁型标志。

OV类型证书：中文全称是企业验证型证书，证书审核方式为通过验证域名所有权和申请企业的真实身份信息才能签发证书。目前OV类型证书是全球运用最广，兼容性最好的证书类型。此证书类型适合中型企业和互联网业务申请。在浏览器中显示锁型标志，并能通过点击查看到企业相关信息。支持ECC高安全强度加密算法，加密数据更加安全，加密性能更高。

EV类型证书：中文全称是增强验证型证书，证书审核级别为所有类型最严格验证方式，在OV类型的验证基础上额外验证其他企业的相关信息，比如银行开户许可证书。EV类型证书多使用于银行,金融,证券,支付等高安全标准行业。其在地址栏可以显示独特的EV绿色标识地址栏，最大程度的标识出网站的可信级别。支持ECC高安全强度加密算法，加密数据更加安全，加密性能更高。

DV、免费、个人证书
OV、企业级证书
EV、银行等高安全证书

腾讯、OV证书

OV SSL是 Organization Validation SSL 的缩写，指需要验证网站所有单位的真实身份的标准型SSL证书，此类证书也就是正常的SSL证书，不仅能起到网站机密信息加密的作用，而且能向用户证明网站的真实身份。所以，推荐在所有电子商务网站使用，因为电子商务需要的是在线信任和在线安全。

博客园DV证书

汇丰银行EV证书

DV证书购买注意事项

1. 一个通配符证书只支持二级域名

2. DV证书最多买3年，不支持续费，只能买新的

3. DV证书到期后浏览器告警不安全

4. 微信小程序、苹果商店等已经全面要求必须https

5.证书提前买，别突然到期了网站挂了，