应用层协议1------SSL/TLS HTTPS 总结

SSL是网景公司发布的协议，后来被互联网标准化组织接手，升级并重命名为TLS

https中的s就是ssl
SSL为了实现这三个目的：
1）认证用户和服务器，确保数据发送到正确的客户机和服务器

2）加密数据以防止数据中途被窃取

3）维护数据的完整性，确保数据在传输过程中不被改变

小明给小白写了一封信（HTTP），这封信被快递员A拿到了，他拆开信，发现是情书：

小白，虽然你我构造一样，但是我爱你。

1.A很反感，把信改写了：
小明，虽然你我构造一样，但是我爱你。
然后把信发给了小明（发送到错误的客户机）

2.A很反感，把信打印成传单，贴的满小区都是（数据中途被窃取）

3.A很反感，将信改写了：
小白，你是个傻逼，咱们绝交吧。
（数据传输过程中被改变）

对称加密

小明知道了快递员的事儿，为了防止A再搞他，他把信乱序了，然后把读信的方式（先读单数，再读双数）写在信封夹层里：

小一白样，，虽但然是你我我爱构你造。

A拆开信发现，自己读不懂了（无法破解密码）这时候上面三条途径都无法搞小明，只能乖乖把信寄给小白，或者把信扔了（网络传输异常，无法解决）
一来二去，A终于发现，我曹，原来小明把密码放在夹层里。搞明白了信的加密方式，A又把小明整了一顿。

非对称加密

这次小明没办法了，但是他对小白的爱是挡不住的，有天请小白出来吃饭，跟小白说这件事，小白给他出了个主意：
用非对称加密的方式（公钥加密，私钥解密），加密信件。

小白先把公钥的加密方式给小明，小明用公钥加密对称加密的密码（对称加密的公钥）

小白看信的方式是这样的：
1.用自己的私钥解密小明对称加密的公钥
2.用小明的公钥解密信件

证书

A已经脱离了整蛊小明的最初目的，现在是小明和A之间智慧的较量：
A截获并伪造小白的非对称加密的公钥，在小区公告板上通知所有人小白的假公钥
小明用假的公钥加密了自己的公钥，并写信给小白：我想你了。
A用自己的私钥解密小明的公钥并解密信件，又把小明整蛊了一顿，还在微博上挑衅小明：呵呵，只要我掌握了传输渠道，你再怎么玩都玩不过我。
小明无计可施，只好求助于工会：
工会讨论出一个解决办法，非对称加密的公钥的更新和公告都必须我们工会的人去发布，这个人得有上岗证（证书）这时候工会的角色类似于浏览器，只有持有工会认可的上岗证，才能证明这个公钥是合法的，不是别人伪造的。

其他

这时候有不想加入工作的组织发布了自己的上岗证（12306点击查看详情），因为办理上岗证是要花钱的，而且它还把公钥贴在小区工会搭建的公告板上，如果小明想买火车票去看小白：
1.信任这份不受工会认可的公钥，才能买到票（但是快递员A也可以仿造公钥）
2.不信任，那就买不到

为什么不直接用非对称加密的公钥直接加密信件

非对称加密之后再解密是很耗费系统资源的。也就是说如果用非对称加密，小明写给小白的信小白可能需要花费一下午才能读懂，但即使是现在这样的方式，对比起最初的HTTP（明文），还是耗费了很多时间，包括：
1.小明用公钥加密信件
2.小明用小白的公钥加密自己的公钥
3.小白用私钥解密小明的公钥
4.小白用小明的公钥解密信件

没有两全的解决办法，要么追求速度，要么追求安全，二者不可得兼

最后

SSL加密就是绝对安全的吗？假设快递员A直接知道算法之后，多次尝试小明的公钥直接破解怎么办？暂时还没有办法，涉及到密码学的问题，可以看一下这个新闻：
OpenSSL又出新漏洞，超过1100万https站点受影响