https的加密原理

A. 全站HTTPS能帶來怎樣的優勢HTTPS原理是什麼，如何加密

全站https會帶來以下優勢：

1、全網站加https會更安全

https的主要功能之一是確保數據在傳輸的過程中被加密，只有相應的伺服器或用戶瀏覽器接收時才能被解密，避免了被第三方攔截和篡改。https還有另外一個功能是提供可信的伺服器認證，這是一套黑客不能隨意篡改的認證信息，使相關用戶確定他們正在與正確的伺服器通信。

如果沒有全網站加https，會導致一些頁面為https，而一些也頁面則還是http，當通過http或不安全的CDN服務載入其他資源（例如JS或CSS文件）時，網站也存在用戶信息被泄露的風險，而全網站https是防止這種風險最簡單且有效的方法。

2、幫用戶識別釣魚網站

上面提到了https可以進行伺服器認證，當伺服器的真實身份得到認證之後可以有效的區別於釣魚網站。全網站加https後，瀏覽器則會內置安全機制，實時查驗證書狀態，通過瀏覽器向用戶展示網站的認證信息，讓用戶能夠輕松識別網站的真實身份，防止誤入釣魚、仿冒網站。

3、對搜索引擎更友好

當網站存在https和http兩種協議時，需要以https這http兩種方式管理整個網站，並且需要仔細、精確的控制重定向。網站很容易在兩個協議中被一個或多個網頁解析，導致搜索引擎抓取和索引出單個網頁的兩個版本，從而導致網頁的搜索可見性降低（因為搜索引擎會認為這兩個網頁相互競爭）。即使沒有這種風險，搜索引擎有時會索引某些錯誤協議的網頁，從而對點擊進入的用戶進行不必要的重定向，反而對伺服器造成了不必要的壓力，稀釋了搜索許可權並會減慢網頁載入速度。

B. https是如何加密的

HTTPS其實是有兩部分組成：HTTP + SSL / TLS，也就是在HTTP上又加了一層處理加密信息的模塊。服務端和客戶端的信息傳輸都會通過TLS進行加密，所以傳輸的數據都是加密後的數據。具體是如何進行加密，解密，驗證的，且看下圖。

1. 客戶端發起HTTPS請求

這個沒什麼好說的，就是用戶在瀏覽器里輸入一個https網址，然後連接到server的443埠。

2. 服務端的配置

採用HTTPS協議的伺服器必須要有一套數字證書，可以自己製作，也可以向組織申請。區別就是自己頒發的證書需要客戶端驗證通過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。這套證書其實就是一對公鑰和私鑰。如果對公鑰和私鑰不太理解，可以想像成一把鑰匙和一個鎖頭，只是全世界只有你一個人有這把鑰匙，你可以把鎖頭給別人，別人可以用這個鎖把重要的東西鎖起來，然後發給你，因為只有你一個人有這把鑰匙，所以只有你才能看到被這把鎖鎖起來的東西。

3. 傳送證書

這個證書其實就是公鑰，只是包含了很多信息，如證書的頒發機構，過期時間等等。

4. 客戶端解析證書

這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發機構，過期時間等等，如果發現異常，則會彈出一個警告框，提示證書存在問題。如果證書沒有問題，那麼就生成一個隨機值。然後用證書對該隨機值進行加密。就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內容。

5. 傳送加密信息

這部分傳送的是用證書加密後的隨機值，目的就是讓服務端得到這個隨機值，以後客戶端和服務端的通信就可以通過這個隨機值來進行加密解密了。

6. 服務段解密信息

服務端用私鑰解密後，得到了客戶端傳過來的隨機值(私鑰)，然後把內容通過該值進行對稱加密。所謂對稱加密就是，將信息和私鑰通過某種演算法混合在一起，這樣除非知道私鑰，不然無法獲取內容，而正好客戶端和服務端都知道這個私鑰，所以只要加密演算法夠彪悍，私鑰夠復雜，數據就夠安全。

7. 傳輸加密後的信息

這部分信息是服務段用私鑰加密後的信息，可以在客戶端被還原。

8. 客戶端解密信息

客戶端用之前生成的私鑰解密服務段傳過來的信息，於是獲取了解密後的內容。整個過程第三方即使監聽到了數據，也束手無策。

C. HTTPS 加密了什麼內容

一般來說，HTTPS 主要用途有三個：一是通過證書等信息確認網站的真實性；二是建立加密的信息通道；三是數據內容的完整性。
那麼加密的信息通道又加密了哪些信息呢？
簽發證書的 CA 中心會發布一種權威性的電子文檔——數字證書，它可以通過加密技術（對稱加密與非對稱加密）對我們在網上傳輸的信息進行加密，比如我在 Pornhub 上輸入：
賬號：cbssfaw
密碼：123djaosid
可是這個數據被黑客攔截盜竊了，那麼加密後，黑客得到的數據可能就是這樣的：
賬號：…≤˙
密碼：§
最後一個就是驗證數據的完整性，當數據包經過無數次路由器轉發後會發生數據劫持，黑客將數據劫持後進行篡改，比如植入羞羞的小廣告。開啟HTTPS後黑客就無法對數據進行篡改，就算真的被篡改了，我們也可以檢測出問題。
對稱加密與非對稱加密
對稱加密
對稱加密是指加密與解密的使用同一個密鑰的加密演算法。小編初中的時候傳紙條使用了同一套加密密碼，所以我用的加密演算法就是對稱加密演算法。
目前常見的加密演算法有：DES、AES、IDEA等
非對稱加密
非對稱加密使用的是兩個密鑰，公鑰與私鑰，我們會使用公鑰對網站賬號密碼等數據進行加密，再用私鑰對數據進行解密。這個公鑰會發給查看網站的所有人，而私鑰是只有網站伺服器自己擁有的。
目前常見非對稱加密演算法：RSA，DSA，DH等。
HTTPS=數據加密+網站認證+完整性驗證+HTTP
通過上文，我們已經知道，HTTPS 就是在 HTTP 傳輸協議的基礎上對網站進行認證，給予它獨一無二的身份證明，再對網站數據進行加密，並對傳輸的數據進行完整性驗證。
HTTPS 作為一種加密手段不僅加密了數據，還給了網站一張身份證。
實現HTTPS，可以淘寶：Gworg 獲取HTTPS加密協議。

D. https的加密機制，怎麼加密

HTTPS加密是在簽發信任機構的SSL證書。
數字證書的作用和原理概述：https://www.gworg.com/ssl/353.html
這種加密模式比較復雜的，他產生了中介數據交易驗證。

E. 關於https原理

http叫超文本傳輸協議，使用TCP埠80，默認情況下數據是明文傳送的，數據可以通過抓包工具捕獲到，因此在interner上，有些比較重要的站點的http伺服器需要使用PKI（公鑰基礎結構）技術來對數據加密！這也就是https了；
https叫安全的超文本傳輸協議，使用TCP埠443，他的數據會用PKI中的公鑰進行加密，這樣抓包工具捕獲到的數據包也沒有辦法看包中的內容，安全性大大提高，要解密數據的話就要用到PKI中的私鑰。所以一些安全性比較高的網站如：網上銀行，電子商務網站都需要用https訪問！

PKI技術說起來主要用公鑰加密和私鑰簽名兩種，工作機制和原理那太復雜了，你要去看專門的資料！

你補充的問題，辦不到！如果一個站點用了https，就必須用https;//的形式訪問！

F. https的基本原理。

HTTPS在傳輸數據之前需要客戶端（瀏覽器）與服務端（網站）之間進行一次握手，在握手過程中將確立雙方加密傳輸數據的密碼信息。TLS/SSL協議不僅僅是一套加密傳輸的協議，TLS/SSL中使用了非對稱加密，對稱加密以及HASH演算法。握手過程的簡單描述如下：

1.瀏覽器將自己支持的一套加密規則發送給網站。

2.網站從中選出一組加密演算法與HASH演算法，並將自己的身份信息以證書的形式發回給瀏覽器。證書裡麵包含了網站地址，加密公鑰，以及證書的頒發機構等信息。

3.獲得網站證書之後瀏覽器要做以下工作：

a) 驗證證書的合法性（頒發證書的機構是否合法，證書中包含的網站地址是否與正在訪問的地址一致等），如果證書受信任，則瀏覽器欄裡面會顯示一個小鎖頭，否則會給出證書不受信的提示。

b) 如果證書受信任，或者是用戶接受了不受信的證書，瀏覽器會生成一串隨機數的密碼，並用證書中提供的公鑰加密。

c) 使用約定好的HASH計算握手消息，並使用生成的隨機數對消息進行加密，最後將之前生成的所有信息發送給網站。

4.網站接收瀏覽器發來的數據之後要做以下的操作：

a) 使用自己的私鑰將信息解密取出密碼，使用密碼解密瀏覽器發來的握手消息，並驗證HASH是否與瀏覽器發來的一致。

b) 使用密碼加密一段握手消息，發送給瀏覽器。

5.瀏覽器解密並計算握手消息的HASH，如果與服務端發來的HASH一致，此時握手過程結束，之後所有的通信數據將由之前瀏覽器生成的隨機密碼並利用對稱加密演算法進行加密。

這里瀏覽器與網站互相發送加密的握手消息並驗證，目的是為了保證雙方都獲得了一致的密碼，並且可以正常的加密解密數據，為後續真正數據的傳輸做一次測試。另外，HTTPS一般使用的加密與HASH演算法如下：

非對稱加密演算法：RSA，DSA/DSS

對稱加密演算法：AES，RC4，3DES

HASH演算法：MD5，SHA1，SHA256

其中非對稱加密演算法用於在握手過程中加密生成的密碼，對稱加密演算法用於對真正傳輸的數據進行加密，而HASH演算法用於驗證數據的完整性。由於瀏覽器生成的密碼是整個數據加密的關鍵，因此在傳輸的時候使用了非對稱加密演算法對其加密。非對稱加密演算法會生成公鑰和私鑰，公鑰只能用於加密數據，因此可以隨意傳輸，而網站的私鑰用於對數據進行解密，所以網站都會非常小心的保管自己的私鑰，防止泄漏。

TLS握手過程中如果有任何錯誤，都會使加密連接斷開，從而阻止了隱私信息的傳輸。正是由於HTTPS非常的安全，攻擊者無法從中找到下手的地方，於是更多的是採用了假證書的手法來欺騙客戶端，從而獲取明文的信息，但是這些手段都可以被識別出來。

G. https 為什麼是安全的

https是目前互聯網中比較安全的一種信息傳輸方式，也是越來越受網民們的喜愛，因為它可以保障隱私數據在傳輸的過程中不被監聽、竊取和篡改。那麼https如何保證安全的呢？需要申請SSL證書嗎？

想要了解https如何保證安全的，需要了解它的工作原理，一張圖表示大致是這樣的：

首先客戶端發起https請求：客戶端會發送一個密文族給伺服器端。（採用https協議的伺服器必須要有一張SSL證書，因此是需要申請SSL證書的。）

然後伺服器端進行配置：伺服器端則會從這些密文族中，挑選出一個。

然後是傳送證書：這個證書其實就是公鑰，只是包含了很多信息，如證書的頒發機構、過期時間等等。

接下來客戶端解析證書：客戶端會驗證公鑰是否有效。

然後進行傳送加密信息：傳送證書加密後的隨機值。

伺服器端進行解密信息：伺服器端利用私鑰進行解密，得到了客戶端傳過來的隨機值，然後把內容通過該值進行對稱加密。

傳輸加密後的信息：伺服器端用隨機值加密後的信息，可以在客戶端被還原。

最後客戶端進行解密信息：客戶端用之前生成的隨機值解密服務端傳送過來的信息，於是獲取了解密後的內容。

整個過程配合的非常完美，第三方是無法插手干預的，這就保障了數據在傳輸過程中的安全。

H. https是如何工作的

加密（Cipher）

在java 1.2時，引入JCR（java 加密擴展）系統，用來負責java中的密鑰和證書。

我們都知道，如果我們想要加密或解密一些信息，我們必須要有一個密鑰。這好比你想要開門或者鎖門，必須要有鑰匙一樣。

在java中，密鑰由KeyGenerator或KeyPairGenerator生成。前者用來生成對稱密鑰，後者用來生成非對稱密鑰。

• 對稱密鑰：使用同一個密鑰進行加密和解密

• 非對稱密鑰：使用不同的密鑰進行加密和解密，通常被稱為公鑰（public key）和私鑰（private key）。 公鑰可以廣泛傳播，但是私鑰只有其所有者知道。在一個安全的非對稱密鑰加密方案中，當信息用公鑰加密後，只有用私鑰才能解密。所以，即使一個黑客拿到你公鑰加密過後的信息，也無法解密它，因為它沒有配對的私鑰。這樣，傳輸的消息就是安全的。

證書（Certificate）

在現實中，如果你進入到鑽石專賣店中想要買一顆鑽石，你怎麼知道鑽石是真的？作為一個普通人來說，我們沒有鑽石方面的知識，但是如果這鑽石有個由美國政府頒發的許可證，我們就會相信它是真的。（去過珠寶店的同學都知道，每件珠寶都有自己的鑒定書）

證書的作用也是如此。在計算機世界中，它可能是包含一些密鑰，是另一個證書（姑且稱之為證書B好了）。這些密鑰是我們需要的，而證書B是一個許可證，用來證明這個證書是可信賴的。

做個簡短的解釋，每個鑽石都有自己的「身份證書」，但是如何說明這個身份證書是合法的，而不是自己偽造的？因此，我們需要一個權威的機構來證明這個鑽石的身份證書是合法的，如果這個鑽石的身份是合法的，該權威機構就會為其頒發一個「許可證」，這個許可證就相當於上面我們說到的證書B。可以看到，證書B的目的就是證明這個身份證書是這個鑽石的身份證書，即證明某某東西是某某東西的東西

問題來了：我們怎麼確定證書B是可信賴的呢？這個問題非常棒。

Android已經把將近150個CA根證書（數字證書認證機構認證過的證書）內置在我們手機中。這150多個證書被全世界信賴，他們就像是美國的大法官。

這150多個證書類似我們剛才說的證書B，分別用來證明某某東西是某某東西的東西

B證書中里有另外一個證書（姑且稱之為C證書），我們通過檢查C來確定C是否是可信任的。。。通過這個證書鏈，如果我們找到的最後一個或根證書 和手機中預置的150個證書中某個相同，我們就可以這個證書原件（此處就是B）

這里我對證書鏈進行說明。證書之間的信任關系是可以嵌套的。比如，CA信任D，D信任C，C信任B
,B信任A。。。這就是證書鏈。只要我們信任證書鏈上的頭一個證書，那麼後續的證書都是可以信任的。這里也就是如果我信任了證書CA，那麼後面的D，C，B，A都是可以信任的。這里來打個比方，架設軍隊中的每個士兵都只認識自己的直接上級，那麼這時候總司令怎麼確認某個士兵是自己部隊 當中的呢？總司令（CA）會問的直接下級（D），而司令的直接下級又會找自己的直接下級，依次往下找…如果最後能找到這個士兵直屬上級，那就說明這個士兵是該部隊當中的。

附：證書有多種格式

• x.509
  x.509證書通常用於包含一個公鑰

• PKCS12
  PKCS12證書通常用來包含一個私鑰。因此，PKCS12需要密碼才能打開。

Https

現在我們來了解https部分。Https（http over ssl）包含上面提到的加密和證書兩部分，被設計用來在Internet安全進行通信。

如何安全的通信？

如何安全通信呢？對稱加密是我們最先想到的方案：將數據進行加密，然後將加密過的數據和密鑰同時傳到伺服器，伺服器使用這個密鑰解密加密過後的數據。

上面這張圖片已經清楚的展示了HTTPS工作的流程。

1.[Server]生成一對密鑰：公鑰和私鑰，我們稱之為「KeyPub」，「KeyPri」
2.[Server]服務端將公鑰（KeyPub）發送到客戶端
3.[Client]生成一個對稱密鑰（姑且稱之為key2），然後用key2加密數據。
4.[Client]使用公鑰（KeyPub）加密key2.這時，key2是安全的，因為只有服務度有私鑰KeyPri
5.[Client]發送用key2加密後的信息及用KeyPub加密過的key2到服務端
6.[Server]服務端使用KeyPri解密得到加密過的key2，得到真正的key2
7.[Server]使用key2解密消息正文。這樣，數據就被安全的傳輸到了服務端。

結論

由於對稱加密比非對稱加密快，https決定使用對稱加密來加密數據，使用非對稱加密對稱加密生成的密鑰，以確保安全

I. HTTPS 協議原理

HTTPS的全稱是Hypertext Transfer Protocol over Secure Socket Layer，即基於SSL的HTTP協議，簡單地說就是HTTP的安全版。HTTPS協議由當時著名的瀏覽器廠商網景(Netscape)公司首創，雖然網景在與微軟(Microsoft)的瀏覽器之爭中敗北，但是HTTPS這一項技術得到了傳承，當前幾乎所有的瀏覽器和伺服器都能夠很好地支持HTTPS 協議。
依託SSL協議，HTTPS協議能夠確保整個通信過程都是經過加密的，密鑰隨機產生，並且能夠通過數字證書驗證通信雙方的身份，以此來保障信息安全。其中證書中包含了證書所代表一端的公鑰，以及一些其所具有基本信息，如機構名稱、證書所作用域名、證書的數字簽名等，通過數字簽名能校驗證書的真實性。通信的內容使用對稱加密方式進行加密，通信兩端約定好通信密碼後，通過公鑰對密碼進行加密傳輸，只有該公鑰對應的私鑰，也就是通信的另一端能夠解密獲得通信密碼，這樣既保證了通信的安全，也使加密性能和時間成本可控。

J. 詳解什麼是HTTPS

HTTPS的全稱是：Hyper Text Transfer Protocol over Secure Socket Layer，也就是HTTP安全連接，可以說是HTTPS協議的安全升級版，地址欄的URL表明這個網站有沒有使用HTTPS加密，HTTPS的安全基礎是SSL層，是一個加密/身份驗證層，這個系統最初由美國的網景公司開發，並內置於瀏覽器中，提供了身份驗證與加密通訊方法，現在HTTPS加密已被廣泛應用於互聯網上信息的安全通訊。

HTTP協議傳送的信息是不加密的，傳送的也就是明文信息，用戶信息容易被篡改，網站也容易被劫持，而HTTPS多了一個加密層，傳送的信息不是明文的，更安全，HTTPS最後的S也就是安全的意思。