HTTPS 原理初探

HTTPS 简单来说就是 HTTP 的安全通信方式，即 HTTP + SSL/TSL 协议。

主机信任

单向认证

HTTPS 中客户端通过证书来校验服务器，只有校验通过客户端和服务器才能建立通信。
首先我们需要从CA (Certificate Authority) 申请自己的证书（带私钥），然后将证书保存在服务器。客户端的系统中已经内置所有带公钥的 CA 证书。（下文的证书皆指 CA 证书，自建证书需要自己将带公钥的证书导入到客户端，其他和 CA 证书一样）

OS X 系统上的 CA 证书

根证书.png

在建立通信的时候服务器会把证书发送给客户端，客户端会校验服务器发送过来的证书的合法性。包括：

证书是否在有效期内
发行证书的机构是否可靠
本地证书的公钥能否解开服务器证书的数字签名
服务器证书上的域名和服务器的实际域名是否匹配

如果校验通过，则客户端信任该服务器并继续之后的通信流程。

双向认证

HTTPS 单向认证只需要客户端对服务器进行认证，而双向认证则是服务器也需要对客户端进行认证。
双向认证时客户端会存放另一个证书（带私钥），在客户端验证服务器之后，客户端会将自己的证书发送给服务器，让服务器对其身份进行校验。

SSL协议握手过程

SSL 协议分为两层，SSL记录协议和 SSL 握手协议。
SSL 记录协议在可靠传输协议之上，随数据进行封装，压缩等。
SSL 握手协议在客户端和服务器通信之前，对双方身份进行认证，协商加密算法，交换加密密钥等。主要步骤如下：

客户端向服务器发起请求，传送 SSL 协议版本号，支持的加密算法，随机数 (random1) 等信息
服务器向客户端传送选中的加密算法，随机数 (random2) 以及证书
客户端验证证书的合法性，验证通过之后取出证书中的公钥
客户端产生一个新的随机数(random3)，并用步骤3拿到的公钥对 random3 进行加密生成预主密钥，然后发送给服务器
服务器用私钥解密预主密钥得到 random3 ，现在服务器和客户端同时拥有了三个随机数(random1,random2,random3)
客户端和服务器根据三个随机数并用同一套算法生成对称密钥，用于之后通信的加解密
客户端和服务器相互确认握手结束，进行数据传输

SSL 单向认证握手

双向认证的握手过程基本和上面一样，只是在步骤4之前，客户端会先将自己的证书发送给服务器进行校验。

完整的双向认证的认证的过程如下图所示：

SSL 双向认证握手

总结

以上就是本人对 HTTPS 原理理解的总结，如果有不妥或者不明白的地方欢迎大家留言。
以前总是在网上看被人写的文章，每每读到写的好的文章时都觉得很赏心悦目，条理清晰，通俗易懂，通过这些文章自己也是受益良多。见贤思齐焉，因此我也打算以文章的形式记录下自己学过的东西。一来可以更好的巩固和梳理知识，且方便以后回顾复习。二来可以提升自己的写作和表达能力。

参考资料

SSL/TLS 握手过程详解

九个问题从入门到熟悉HTTPS