本篇文章带大家了解一下http存在的问题，介绍https是怎么保证安全的。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。

HTTP存在的问题

1、窃听风险：通信使用明文（不加密），内容可能会被窃听(第三方可能获知通信内容)

2、冒充风险：不验证通信方的身份，因此有可能遭遇伪装

3、篡改风险：无法证明报文的完整性，所以有可能已遭篡改

HTTPS

可以看到 HTTPS的网站，在浏览器的地址栏内会出现一个带锁的标记。

HTTPS并非是应用层一个新的协议，通常 HTTP 直接和 TCP 通信，HTTPS则先和安全层（SSL/TLS）通信，然后安全层再和 TCP 层通信。

SSL/TLS协议就是为了解决上面提到的HTTP存在的问题而生的，下面我们来看一下它是怎么解决的:

1、所有的信息都是加密传输的，第三方无法窃听

2、配备身份验证，防止身份被冒充

3、具有校验机制，一旦被篡改，通信双方会立刻发现

加密

对称加密

加密和解密同用一个秘钥的方式称为 共享秘钥加密，也被叫做对称秘钥加密。

• 浏览器发送给服务端 client_random 和一系列加密方法

• 服务端发送给浏览器 server_random和加密方法

现有浏览器和服务器有了三个相同的凭证：client_random、server_random和加密方法
用加密方法把 client_random、server_random 两个随机数混合起来，生成秘钥，这个密钥就是浏览器和服务端通信的暗号。

存在的问题：第三方可以在中间获取到client_random、server_random和加密方法，由于这个加密方法同时可以解密，所以中间人可以成功对暗号进行解密，拿到数据，很容易就将这种加密方式破解了。

非对称加密

• 浏览器发送给服务端 一系列加密方法

• 服务端发送给浏览器 加密方法以及公钥

之后浏览器通过公钥将数据加密传输给服务端，服务端收到数据使用私钥进行解密。服务端给浏览器发送数据，则使用私钥进行加密，浏览器收到服务端发送过来的数据，使用公钥进行解密。

存在的问题：

• 非对称加密效率太低， 这会严重影响加解密的速度，进而影响到用户打开页面的速度。

• 无法保证服务器发送给浏览器的数据安全， 服务器的数据只能用私钥进行加密(因为如果它用公钥那么浏览器也没法解密啦)，中间人一旦拿到公钥，那么就可以对服务端传来的数据进行解密了，就这样又被破解了。

HTTPS使用对称加密和非对称加密结合

传输数据阶段依然使用对称加密，但是对称加密的秘钥我们采用非对称加密传输。

• 浏览器向服务器发送client_random和加密方法列表。

• 服务器接收到，返回server_random、加密方法以及公钥。

• 浏览器接收，接着生成另一个随机数pre_master, 并且用公钥加密，传给服务器。(重点操作！)

• 服务器用私钥解密这个被加密后的pre_master。

到此为止，服务器和浏览器就有了相同的  client_random、server_random 和 pre_master, 然后服务器和浏览器会使用这三组随机数生成对称秘钥。有了对称秘钥之后，双方就可以使用对称加密的方式来传输数据了。

CA (数字证书)

使用对称和非对称混合的方式，实现了数据的加密传输。但是这种仍然存在一个问题，服务器可能是被黑客冒充的。这样，浏览器访问的就是黑客的服务器，黑客可以在自己的服务器上实现公钥和私钥，而对浏览器来说，它并不完全知道现在访问的是这个是黑客的站点。

服务器需要证明自己的身份，需要使用权威机构颁发的证书，这个权威机构就是 CA（Certificate Authority）， 颁发的证书就称为数字证书 (Digital Certificate)。

对于浏览器来说，数字证书有两个作用：

• 通过数字证书向浏览器证明服务器的身份

• 数字证书里面包含了服务器公钥

下面我们来看一下含有数字证书的HTTPS的请求流程

相对于不含数字证书的HTTPS请求流程，主要以下两点改动

• 服务器没有直接返回公钥给浏览器，而是返回了数字证书，而公钥正是包含数字证书中的；

• 在浏览器端多了一个证书验证的操作，验证了证书之后，才继续后序流程。

参考

• 如何用通俗易懂的话来解释非对称加密?

• 十分钟搞懂HTTP和HTTPS协议？

• HTTPS 原理分析——带着疑问层层深入

• 图解HTTP

• 浏览器工作原理与实践

• (1.6w字)浏览器灵魂之问，请问你能接得住几个？

推荐教程：web服务器安全

# 服务端  # 公钥  # 非对称  # 随机数  # 发送给  # 自己的  # 第三方  # 有可能  # 权威机构  # 的是 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 悟空识字怎么关闭自动续费_悟空识字取消会员自动扣费步骤  制作无缝贴图网站有哪些,3dmax无缝贴图怎么调？  如何快速查询域名建站关键信息？  Laravel怎么实现搜索功能_Laravel使用Eloquent实现模糊查询与多条件搜索【实例】  东莞专业网站制作公司有哪些,东莞招聘网站哪个好？  Laravel Vite是做什么的_Laravel前端资源打包工具Vite配置与使用  如何在Windows服务器上快速搭建网站？  头像制作网站在线观看,除了站酷，还有哪些比较好的设计网站？  如何在万网主机上快速搭建网站？  Linux安全能力提升路径_长期防护思维说明【指导】  Win11摄像头无法使用怎么办_Win11相机隐私权限开启教程【详解】  JS中对数组元素进行增删改移的方法总结  如何快速启动建站代理加盟业务？  Laravel策略(Policy)如何控制权限_Laravel Gates与Policies实现用户授权  Laravel如何处理文件下载请求？（Response示例）  Edge浏览器如何截图和滚动截图_微软Edge网页捕获功能使用教程【技巧】  中国移动官方网站首页入口 中国移动官网网页登录  如何在云指建站中生成FTP站点？  如何在不使用负向后查找的情况下匹配特定条件前的换行符  如何获取上海专业网站定制建站电话？  使用PHP下载CSS文件中的所有图片【几行代码即可实现】  php485函数参数是什么意思_php485各参数详细说明【介绍】  网站制作免费,什么网站能看正片电影？  标题：Vue + Vuex + JWT 身份认证的正确实践与常见误区解析  Laravel怎么做缓存_Laravel Cache系统提升应用速度的策略与技巧  重庆市网站制作公司,重庆招聘网站哪个好？  作用域操作符会触发自动加载吗_php类自动加载机制与::调用【教程】  敲碗10年！Mac系列传将迎来「触控与联网」双革新  如何快速生成高效建站系统源代码？  Laravel怎么判断请求类型_Laravel Request isMethod用法  如何在橙子建站中快速调整背景颜色？  如何用PHP快速搭建高效网站？分步指南  如何快速生成凡客建站的专业级图册？  Laravel如何使用Eloquent ORM进行数据库操作？（CRUD示例）  悟空浏览器如何设置小说背景色_悟空浏览器背景色设置【方法】  利用JavaScript实现拖拽改变元素大小  如何在云主机快速搭建网站站点？  laravel怎么配置Redis作为缓存驱动_laravel Redis缓存配置教程  Laravel Eloquent模型如何创建_Laravel ORM基础之Model创建与使用教程  Laravel如何使用缓存系统提升性能_Laravel缓存驱动和应用优化方案  网站建设整体流程解析，建站其实很容易！  html5audio标签播放结束怎么触发事件_onended回调方法【教程】  香港服务器建站指南：免备案优势与SEO优化技巧全解析  UC浏览器如何切换小说阅读源_UC浏览器阅读源切换【方法】  Claude怎样写结构化提示词_Claude结构化提示词写法【教程】  Microsoft Edge如何解决网页加载问题 Edge浏览器加载问题修复  如何自定义建站之星模板颜色并下载新样式？  Laravel怎么使用Session存储数据_Laravel会话管理与自定义驱动配置【详解】  微信小程序 input输入框控件详解及实例（多种示例）  制作网站软件推荐手机版,如何制作属于自己的手机网站app应用？