https 原理理解

一、什么是HTTPS
在說HTTPS之前先說說什么是HTTP，HTTP就是我們平時瀏覽網頁時候使用的一種 協議。HTTP協議傳輸的數據都是未加密的，也就是明文的，因此使用HTTP協議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸，于是網景公司 設計了SSL（Secure Sockets Layer）協議用于對HTTP協議傳輸的數據進行加密，從而就誕生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定義在RFC 6101中，之后IETF對SSL 3.0進行了升級，于是出現了TLS（Transport Layer Security） 1.0，定義在RFC 2246。實際上我們現在的HTTPS都是用的TLS協議，但是由于SSL出現的時間比較早，并且依舊被現在瀏覽器所支持，因此SSL依然是HTTPS的 代名詞，但無論是TLS還是SSL都是上個世紀的事情，SSL最后一個版本是3.0，今后TLS將會繼承SSL優良血統繼續為我們進行加密服務。目前 TLS的版本是1.2，定義在RFC 5246中，暫時還沒有被廣泛的使用。

二、HTTPS到底安全嗎？
這個答案是肯定的，很安全。谷歌公司已經行動起來要大力推廣HTTPS的使用，在未來幾周，谷歌將對全球所有本地域名都啟用HTTPS，用戶只要在搜索前用Google帳號登錄，之后所有的搜索操作都將使用TLS協議加密。

三、HTTPS的工作原理
HTTPS在傳輸數據之前需要客戶端（瀏覽器）與服務端（網站）之間進行一次握手， 在握手過程中將確立雙方加密傳輸數據的密碼信息。TLS/SSL協議不僅僅是一套加密傳輸的協議，更是一件經過藝術家精心設計的藝術品，TLS/SSL中 使用了非對稱加密，對稱加密以及HASH算法。握手過程的簡單描述如下：
1.瀏覽器將自己支持的一套加密規則發送給網站。
2.網站從中選出一組加密算法與HASH算法，并將自己的身份信息以證書的形式發回給瀏覽器。證書里面包含了網站地址，加密公鑰，以及證書的頒發機構等信息。
3.獲得網站證書之后瀏覽器要做以下工作：
a) 驗證證書的合法性（頒發證書的機構是否合法，證書中包含的網站地址是否與正在訪問的地址一致等），如果證書受信任，則瀏覽器欄里面會顯示一個小鎖頭，否則會給出證書不受信的提示。
b) 如果證書受信任，或者是用戶接受了不受信的證書，瀏覽器會生成一串隨機數的密碼，并用證書中提供的公鑰加密。
c) 使用約定好的HASH計算握手消息，并使用生成的隨機數對消息進行加密，最后將之前生成的所有信息發送給網站。
4.網站接收瀏覽器發來的數據之后要做以下的操作：
a) 使用自己的私鑰將信息解密取出密碼，使用密碼解密瀏覽器發來的握手消息，并驗證HASH是否與瀏覽器發來的一致。
b) 使用密碼加密一段握手消息，發送給瀏覽器。
5.瀏覽器解密并計算握手消息的HASH，如果與服務端發來的HASH一致，此時握手過程結束，之后所有的通信數據將由之前瀏覽器生成的隨機密碼并利用對稱加密算法進行加密。
這里瀏覽器與網站互相發送加密的握手消息并驗證，目的是為了保證雙方都獲得了一致的密碼，并且可以正常的加密解密數據，為后續真正數據的傳輸做一次測試。另外，HTTPS一般使用的加密與HASH算法如下：
非對稱加密算法：RSA，DSA/DSS
對稱加密算法：AES，RC4，3DES
HASH算法：MD5，SHA1，SHA256
其 中非對稱加密算法用于在握手過程中加密生成的密碼，對稱加密算法用于對真正傳輸的數據進行加密，而HASH算法用于驗證數據的完整性。由于瀏覽器生成的密 碼是整個數據加密的關鍵，因此在傳輸的時候使用了非對稱加密算法對其加密。非對稱加密算法會生成公鑰和私鑰，公鑰只能用于加密數據，因此可以隨意傳輸，而 網站的私鑰用于對數據進行解密，所以網站都會非常小心的保管自己的私鑰，防止泄漏。
TLS握手過程中如果有任何錯誤，都會使加密連接斷開，從而阻 止了隱私信息的傳輸。正是由于HTTPS非常的安全，***者無法從中找到下手的地方，于是更多的是采用了假證書的手法來欺騙客戶端，從而獲取明文的信息， 但是這些手段都可以被識別出來，我將在后續的文章進行講述。

以上參考鏈接：http://www.guokr.com/post/114121/

#me:HTTPS工作原理理解分為兩步

第一步：瀏覽器------>網站

瀏覽器：先HASH握手信息,然后用自己（瀏覽器）生成的一串隨機數作為密碼來加密，并且把這串隨機數密碼使用網站發來的公鑰加密，將 握手信息的加密結果 和 密碼的加密的結果 和 握手信息的HASH結果都發送給網站

網站：利用自己的私鑰解密得到瀏覽器生成的密碼（這使用的是非對稱加密算法），然后再用得到密碼解密握手信息的加密結果，并驗證加密信息的HASH值是否和瀏覽器發來的一致~

第二步：網站------->瀏覽器

網站：網站使用密碼（這個密碼是之前用私鑰解密得到的，即瀏覽器生成的）加密一段握手消息，將握手信息的加密結果和握手消息的HASH 發送給瀏覽器。

瀏覽器：瀏覽器解密并計算握手消息的HASH，如果與服務端發來的HASH一致，此時握手過程結束。

之后

所有的通信數據將由之前瀏覽器生成的隨機密碼并利用對稱加密算法進行加密。

這里瀏覽器與網站互相發送加密的握手消息并驗證，目的是為了保證雙方都獲得了一致的密碼，并且可以正常的加密解密數據，為后續真正數據的傳輸做一次測試

看這個url

http://www.codeceo.com/article/ssl-time-https-slower-http.html