“安全的”HTTPS

前言

作为码农都知道，HTTPS 比 HTTP 安全，也知道与 HTTPS协议相关的概念有 SSL 、非对称加密、 CA证书等，但HTTPS是绝对的安全吗？
灵魂三问：
为什么用了 HTTPS 就是安全的？
HTTPS 的底层原理如何实现？
用了 HTTPS 就一定安全吗？

HTTPS实现原理

HTTPS 协议之所以安全是因为 HTTPS 协议会对传输的数据进行加密，而加密过程是使用了非对称加密实现。但其实，HTTPS在内容传输的加密上使用的是对称加密，非对称加密只作用在证书验证阶段。
HTTPS的整体过程分为证书验证和数据传输阶段，具体的交互过程如下：

1. 证书验证阶段
   浏览器发起 HTTPS 请求
   服务端返回 HTTPS 证书
   客户端验证证书是否合法，如果不合法则提示告警
2. 数据传输阶段
   当证书验证合法后，在本地生成随机数
   通过公钥加密随机数，并把加密后的随机数传输到服务端
   服务端通过私钥对随机数进行解密
   服务端通过客户端传入的随机数构造对称加密算法，对返回结果内容进行加密后传输

• 为什么数据传输是用对称加密？
  首先，非对称加密的加解密效率是非常低的，而 http 的应用场景中通常端与端之间存在大量的交互，非对称加密的效率是无法接受的；
  另外，在 HTTPS 的场景中只有服务端保存了私钥，一对公私钥只能实现单向的加解密，所以 HTTPS 中内容传输加密采取的是对称加密，而不是非对称加密。
• 为什么需要 CA 认证机构颁发证书？
  HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器，而 HTTPS 协议主要解决的便是网络传输的安全性问题。
  首先我们假设不存在认证机构，任何人都可以制作证书，这带来的安全风险便是经典的 “中间人攻击” 问题。
  “中间人攻击”的具体过程如下：

https://mp.weixin.qq.com/s/t1hQm-CLgoz8ilGeKnNr0Q