谈到HTTPS, 就不得不谈到与之相对的HTTP。HTTP的特性是明文传输，因此在传输的每一个环节，数据都有可能被第三方窃取或者篡改，具体来说，HTTP 数据颠末 TCP 层，然后颠末WIFI路由器、运营商和方针处事器，这些环节中都可能被中间人拿到数据并进行篡改，也就是我们常说的中间人打击。

为了防止这样一类打击，我们不得已要引入新的加密方案，即 HTTPS。

HTTPS并不是一个新的协议, 而是一个加强版的HTTP。其道理是在HTTP和TCP之间成立了一其中间层，，当HTTP和TCP通信时并不是像以前那样直接通信，直接颠末了一其中间层进行加密，将加密后的数据包传给TCP, 响应的，TCP必需将数据包解密，才华传给上面的HTTP。这其中间层也叫安适层。安适层的核心就是对数据加解密。

接下来我们就来分解一下HTTPS的加解密是如何实现的。

对称加密和非对称加密 观点

首先需要理解对称加密和非对称加密的观点，然后讨论两者应用后的效果如何。

对称加密是最简单的方法，指的是加密和解密用的是同样的密钥。

而对付非对称加密，如果有 A、 B 两把密钥，如果用 A 加密过的数据包只能用 B 解密，反之，如果用 B 加密过的数据包只能用 A 解密。

加解密过程

接着我们来谈谈浏览器和处事器进行协商加解密的过程。

首先，浏览器会给处事器发送一个随机数client_random和一个加密的要领列表。

处事器接收后给浏览器返回另一个随机数server_random和加密要领。

此刻，两者拥有三样不异的凭证: client_random、server_random和加密要领。

接着用这个加密要领将两个随机数混合起来生成密钥，这个密钥就是浏览器和处事端通信的暗记。

各自应用的效果

如果用对称加密的方法，那么第三方可以在中间获取到client_random、server_random和加密要领，由于这个加密要领同时可以解密，所以中间人可以告成对暗记进行解密，拿到数据，很容易就将这种加密方法破解了。

既然对称加密这么不堪一击，我们就来试一试非对称加密。在这种加密方法中，处事器手里有两把钥匙，一把是公钥，也就是说每小我私家都能拿到，是果然的，另一把是私钥，这把私钥只有处事器本身知道。

好，此刻开始传输。

浏览器把client_random和加密要领列表传过来，处事器接收到，把server_random、加密要领和公钥传给浏览器。

此刻两者拥有不异的client_random、server_random和加密要领。然后浏览器用公钥将client_random和server_random加密，生成与处事器通信的暗记。

这时候由于是非对称加密，公钥加密过的数据只能用私钥解密，因个中间人就算拿到浏览器传来的数据，由于他没有私钥，照样无法解密，保证了数据的安适性。

这难道必然就安适吗？聪明的小伙伴早就发明了眉目。回到非对称加密的界说，公钥加密的数据可以用私钥解密，那私钥加密的数据也可以用公钥解密呀！

处事器的数据只能用私钥进行加密(因为如果它用公钥那么浏览器也没法解密啦)，中间人一旦拿到公钥，那么就可以对处事端传来的数据进行解密了，就这样又被破解了。而且，只是给与非对称加密，对付处事器性能的消耗也是相当巨大的，因此我们暂且不给与这种方案。

对称加密和非对称加密的结合

可以发明，对称加密和非对称加密，单独应用任何一个，城市存在安适隐患。那我们能不能把两者结合，进一步保证安适呢？

其实是可以的，演示一下整个流程：

浏览器向处事器发送client_random和加密要领列表。

处事器接收到，返回server_random、加密要领以及公钥。

浏览器接收，接着生成另一个随机数pre_random, 并且用公钥加密，传给处事器。(敲黑板！重点操纵！)

处事器用私钥解密这个被加密后的pre_random。

此刻浏览器和处事器有三样不异的凭证:client_random、server_random和pre_random。然后两者用不异的加密要领混合这三个随机数，生成最终的密钥。

然后浏览器和处事器尽管用一样的密钥进行通信，即使用对称加密。

这个最终的密钥是很难被中间人拿到的，为什么呢? 因为中间人没有私钥，从而拿不到pre_random，也就无法生成最终的密钥了。

回头对照一下和纯挚的使用非对称加密, 这种方法做了什么改造呢？素质上是防备了私钥加密的数据别传。单独使用非对称加密，最大的缝隙在于处事器传数据给浏览器只能用私钥加密，这是危险孕育产生的泉源。操作对称和非对称加密结合的方法，就防备了这一点，从而保证了安适。

添加数字证书