HTTPS（全稱：HyperText Transfer Protocol over Secure Socket Layer），其實 HTTPS 並不是一個新鮮協議，Google 很早就開始啟用了，初衷是為了保證資料安全。 近兩年，Google、Baidu、Facebook 等這樣的網際網路巨頭，不謀而合地開始大力推行 HTTPS， 國內外的大型網際網路公司很多也都已經啟用了全站 HTTPS，這也是未來網際網路發展的趨勢。

為鼓勵全球網站的 HTTPS 實現，一些網際網路公司都提出了自己的要求：

1）Google 已調整搜尋引擎演算法，讓採用 HTTPS 的網站在搜尋中排名更靠前；

2）從 2017 年開始，Chrome 瀏覽器已把採用 HTTP 協議的網站標記為不安全網站；

3）蘋果要求 2017 年 App Store 中的所有應用都必須使用 HTTPS 加密連線；

4）當前國內炒的很火熱的微信小程式也要求必須使用 HTTPS 協議；

5）新一代的 HTTP/2 協議的支援需以 HTTPS 為基礎。

等等，因此想必在不久的將來，全網 HTTPS 勢在必行。

概念

協議

1、

HTTP 協議

（HyperText Transfer Protocol，超文字傳輸協議）：是客戶端瀏覽器或其他程式與Web伺服器之間的應用層通訊協議 。

2、HTTPS 協議（HyperText Transfer Protocol over Secure Socket Layer）：可以理解為HTTP+SSL/TLS， 即 HTTP 下加入 SSL 層，HTTPS 的安全基礎是 SSL，因此加密的詳細內容就需要 SSL，用於安全的 HTTP 資料傳輸。

如上圖所示 HTTPS 相比 HTTP 多了一層 SSL/TLS

SSL（Secure Socket Layer，安全套接字層）：1994年為 Netscape 所研發，SSL 協議位於 TCP/IP 協議與各種應用層協議之間，為資料通訊提供安全支援。

TLS（Transport Layer Security，傳輸層安全）：其前身是 SSL，它最初的幾個版本（SSL 1。0、SSL 2。0、SSL 3。0）由

網景公司

開發，1999年從 3。1 開始被 IETF 標準化並改名，發展至今已經有 TLS 1。0、TLS 1。1、TLS 1。2 三個版本。

SSL3。0

和TLS1。0由於存在安全漏洞，已經很少被使用到。TLS 1。3 改動會比較大，目前還在草案階段，目前使用最廣泛的是TLS 1。1、TLS 1。2。

加密演算法：

據記載，公元前400年，古希臘人就發明了置換密碼；在

第二次世界大戰

期間，德國軍方啟用了“恩尼格瑪”密碼機，所以密碼學在社會發展中有著廣泛的用途。

1、對稱加密

有流式、

分組

兩種，加密和解密都是使用的同一個金鑰。

例如：DES、AES-GCM、ChaCha20-Poly1305等

2、非對稱加密

加密使用的金鑰和解密使用的金鑰是不相同的，分別稱為：公鑰、

私鑰

，公鑰和演算法都是公開的，私鑰是保密的。非對稱加密演算法效能較低，但是安全性超強，由於其加密特性，非對稱加密演算法能加密的資料長度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

3、雜湊演算法

將任意長度的資訊轉換為較短的固定長度的值，通常其長度要比資訊小得多，且演算法不可逆。

例如：MD5、SHA-1、SHA-2、SHA-256 等

4、數字簽名

簽名就是在資訊的後面再加上一段內容（資訊經過hash後的值），可以證明資訊沒有被修改過。

hash值

一般都會加密後（也就是簽名）再和資訊一起傳送，以保證這個hash值不被修改。

詳解

一、HTTP 訪問過程

抓包如下：

如上圖所示，HTTP請求過程中，

客戶端

與伺服器之間沒有任何身份確認的過程，資料全部明文傳輸，“裸奔”在網際網路上，所以很容易遭到駭客的攻擊，如下：

可以看到，客戶端發出的請求很容易被駭客截獲，如果此時駭客冒充伺服器，則其可返回任意資訊給客戶端，而不被客戶端察覺，所以我們經常會聽到一詞“

劫持

”，現象如下：

下面兩圖中，瀏覽器中填入的是相同的URL，左邊是正確響應，而右邊則是被劫持後的響應

所以 HTTP 傳輸面臨的風險有：

（1） 竊聽風險：駭客可以獲知通訊內容。

（2） 篡改風險：駭客可以修改通訊內容。

（3） 冒充風險：駭客可以冒充他人身份參與通訊。

二、HTTP 向 HTTPS 演化的過程

第一步：為了防止上述現象的發生，人們想到一個辦法：對傳輸的資訊加密（即使駭客截獲，也無法破解）

如上圖所示，此種方式屬於對稱加密，雙方擁有相同的金鑰，資訊得到安全傳輸，但此種方式的缺點是：

（1）不同的客戶端、伺服器數量龐大，所以雙方都需要維護大量的金鑰，維護成本很高

（2）因每個客戶端、伺服器的安全級別不同，金鑰極易洩露

第二步：既然使用對稱加密時，金鑰維護這麼繁瑣，那我們就用非對稱加密試試

如上圖所示，客戶端用公鑰對請求內容加密，伺服器使用私鑰對內容解密，反之亦然，但上述過程也存在缺點：

（1）公鑰是公開的（也就是駭客也會有公鑰），所以第 ④ 步私鑰加密的資訊，如果被駭客截獲，其可以使用公鑰進行解密，獲取其中的內容

第三步：非對稱加密既然也有缺陷，那我們就將對稱加密，非對稱加密兩者結合起來，取其精華、去其糟粕，發揮兩者的各自的優勢

如上圖所示

（1）第 ③ 步時，客戶端說：（咱們後續回話採用對稱加密吧，這是對稱加密的演算法和對稱金鑰）這段話用公鑰進行加密，然後傳給伺服器

（2）伺服器收到資訊後，用私鑰解密，提取出

對稱加密演算法

和對稱金鑰後，伺服器說：（好的）對稱金鑰加密

（3）後續兩者之間資訊的傳輸就可以使用對稱加密的方式了

遇到的問題：

（1）客戶端如何獲得公鑰

（2）如何確認伺服器是真實的而不是駭客

第四步：獲取公鑰與確認伺服器身份

1、獲取公鑰

（1）提供一個下載公鑰的地址，回話前讓客戶端去下載。（缺點：下載地址有可能是假的；客戶端每次在回話前都先去下載公鑰也很麻煩）

（2）回話開始時，伺服器把公鑰發給客戶端（缺點：駭客冒充伺服器，傳送給客戶端假的公鑰）

2、那有木有一種方式既可以安全的獲取公鑰，又能防止駭客冒充呢？ 那就需要用到終極武器了：SSL 證書（申購）

如上圖所示，在第 ② 步時伺服器傳送了一個SSL證書給客戶端，SSL 證書中包含的具體內容有：

（1）證書的釋出機構CA

（2）證書的有效期

（3）公鑰

（4）證書所有者

（5）簽名

………

3、客戶端在接受到服務端發來的SSL證書時，會對證書的真偽進行校驗，以瀏覽器為例說明如下：

（1）首先瀏覽器讀取證書中的證書所有者、有效期等資訊進行一一校驗

（2）瀏覽器開始查詢作業系統中已內建的受信任的證書釋出機構CA，與伺服器發來的證書中的頒發者CA比對，用於校驗證書是否為合法機構頒發

（3）如果找不到，瀏覽器就會報錯，說明伺服器發來的證書是不可信任的。

（4）如果找到，那麼瀏覽器就會從作業系統中取出 頒發者CA 的公鑰，然後對伺服器發來的證書裡面的簽名進行解密

（5）瀏覽器使用相同的

hash演算法

計算出伺服器發來的證書的hash值，將這個計算的hash值與證書中籤名做對比

（6）對比結果一致，則證明伺服器發來的證書合法，沒有被冒充

（7）此時瀏覽器就可以讀取證書中的公鑰，用於後續加密了

4、所以透過傳送SSL證書的形式，既解決了公鑰獲取問題，又解決了駭客冒充問題，一箭雙鵰，

HTTPS加密

過程也就此形成

所以相比HTTP，HTTPS 傳輸更加安全

（1） 所有資訊都是加密傳播，駭客無法竊聽。

（2） 具有校驗機制，一旦被篡改，通訊雙方會立刻發現。

（3） 配備身份證書，防止身份被冒充。

總結

綜上所述，相比 HTTP 協議，HTTPS 協議增加了很多握手、加密解密等流程，雖然過程很複雜，但其可以保證資料傳輸的安全。所以在這個網際網路膨脹的時代，其中隱藏著各種看不見的危機，為了保證資料的安全，維護網路穩定，建議大家多多推廣HTTPS。

推薦閱讀：

HTTPS系列乾貨（二）：突破這5個技術難點，HTTPS會好用到飛起來

一文讀懂 HTTP/2 特性

為什麼非全站升級HTTPS不可？

詳解又拍雲 CDN 全站 HTTPS 訪問最佳化

又拍雲 OV & EV SSL 證書服務一覽

又拍雲免費 SSL 證書申請入口

關於

又拍雲

又拍雲致力於為客戶提供一站式的線上業務加速服務，為使用者網頁圖片、檔案下載、音影片點播、動態內容，全站整體提供加速服務，擁有智慧控制檯面板，具有SSL全鏈路加密最佳化，自定義邊緣規則等特性，同時支援 WebP 、H。265 、Gzip 壓縮、HTTP/2 等新特性，CDN 效能快人一步。另提供安全高可靠的融合雲端儲存，一站式短影片、直播、點播解決方案，實時靈活多終端的雲處理，以及流量營銷等服務。