HTTPS、单向认证、双向认证，中间者攻击

问题

在现代的互联网中HTTP协议走的都是明文很容易在网络的传输中被人截取数据包，获取到数据内容。如果涉及到重要的信息，不想让第三方获取到数据怎么办。
HTTPS怎么对数据加密的，怎么和服务器交互数据

HTTPS简介

HTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。

HTTPS数据包在网络中传递过程

服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据。具体是如何进行加密，解密，验证的，且看下图。

Https连接过程

连接过程说明

客户端发起HTTPS请求
这个没什么好说的，就是用户在浏览器里输入一个https网址，然后连接到server的443端口。
服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解，可以想象成一把钥匙和一个锁头，只是全世界只有你一个人有这把钥匙，你可以把锁头给别人，别人可以用这个锁把重要的东西锁起来，然后发给你，因为只有你一个人有这把钥匙，所以只有你才能看到被这把锁锁起来的东西。
传送证书
这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。
客户端解析证书
这部分工作是有客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的，把随机值用锁头锁起来，这样除非有钥匙，不然看不到被锁住的内容。
验证公钥有效后，会生成一个对称加密的密钥。然后通过服务器给的公钥加密生成的对称加密的密钥发给服务器。
传送加密信息
这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
把对称加密的密钥发给服务器
服务段解密信息
服务端用私钥解密后，得到了客户端传过来的随机值(密钥)，然后把内容通过该值进行对称加密。所谓对称加密就是，将信息和私钥通过某种算法混合在一起，这样除非知道私钥，不然无法获取内容，而正好客户端和服务端都知道这个私钥，所以只要加密算法够彪悍，私钥够复杂，数据就够安全。
传输加密后的信息
这部分信息是服务段用私钥加密后的信息，可以在客户端被还原
客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息，于是获取了解密后的内容。整个过程第三方即使监听到了数据，也束手无策。

问题：为什么抓包工具还能抓到HTTPS数据包并解密成功呢？不是说HTTPS在网络中传输的是密文吗？这个问题就是中间者攻击（man in zhe middle）

攻击原理

中间者攻击原理图

解决办法，就是HTTPS单向验证
在客户端中内置服务器公钥，在第三步服务器返回的公钥，除了验证公钥的有效性之外，再比对公钥是不是和内置的公钥一样，不一样说明被中间者攻击了，就断开链接不在请求了。

这个原理的前提是服务器的私钥没有泄露，客户端的代码不会被破解，道高一尺魔高一丈。信息安全就是在合理的范围内，选择比较合适的加密方法，没有绝对论，只有相对论。在某个范围内比较安全。。

问题服务器要验证客户端呢，不是什么人都可以链接服务器。怎么办？

解决办法，HTTPS双向认证

参考Https单向认证和双向认证

如何选择单向认证还是双向认证

一般一个站点很多用户访问就用单向认证
企业接口对接就用双向认证