HTTPS原理及流程

---

HTTPS为什么更安全：数据对称加密传出，对称密钥使用非对称加密协商。
HTTPS就一定安全吗：不一定，如果用户在浏览器端执意访问证书可疑或过期的站点，就存在安全隐患。
---
HTTPS实现原理：https连接可以分为三个阶段：
1、证书校验：当浏览器向服务器发送请求时，服务器会将包含服务器公钥的证书返回给浏览器，浏览器得到证书后会对证书中的信息进行一系列的验证，包括验证域名、是否过期、签发机构等信息。
2、对称密钥协商：证书验证通过后，浏览器在本地生成并缓存一个随机串，用服务器的公钥将这个随机串加密并传递给服务器，服务器以自己本地的私钥解密这个随机串，然后以解密出来的随机串作为对称密钥，至此就完成了对称密钥的协商。
3、业务数据传输：完成对称密钥协商后，后续业务数据的传输两端都使用这个对称密钥加解密。

为什么使用非对称方式来协商密钥：因为整个过程中非对称密钥的的公钥是可以公开的，对称密钥则不能公开。非对称密钥也就可以通过网络自由分发了，所以利用非对称密钥来传递对称密钥能保证对称密钥的安全性。同时整个过程中只是用了一套非对称密钥，实现成本得到了控制。
为什么不是用非对称密钥来加密数：这是应为非对称加密的效率远低于对称加密，所以对于大量业务数据的传输，对称密钥更适合。

中间人攻击：是指攻击者利用DNS劫持等手段将用户请求引导到恶意的中间代理上，使用户与一个假冒的站点通信，用户将数据发送到假的站点后，攻击者就可解密获得用户真实数据，然后拿着这些用户数据到合法网站冒充用户操作。

为什么证书需要CA机构签发：首先CA机构是被业界认可的权威机构，这些机构会为他们签发的证书负责，从而避免中间人攻击，CA证书就是用来给浏览器判定网站合法性的。CA机构根证书在计算机本地都有缓存，浏览器收到业务服务器的证书后，可以利用本地缓存的根证书对服务器证书进行校验。