https之我的理解

多为搬运汇总，加上自己的总结，方便以后复习回顾，参考资料在最下面，感谢各位博主力作，希望以后自己也能写出深入浅出有条理的文章，提升自己帮助他人。

首先是http的缺点

1. 通信使用明文；第三方可以获知通信内容。
2. 不验证通信方的身份；第三方可以冒充他人身份参与通信。
3. 无法验证报文的完整性；第三方可以修改通信内容。

因此确保安全通信的三个原则

1. 数据内容的加密
2. 通讯双方的身份校验
3. 数据内容的完整性

因此诞生了https：Https = Http + 加密 + 认证 + 完整性保护

TCP/IP协议族中已经提供了一个用于数据安全传输的协议——SSL（Secure Socket Layer）安全套接层，位于应用层与传输层之间。SSL 提供认证和加密处理及摘要功能，最初是由浏览器开发商网景通信公司率先倡导的，后来的TSL 是以 SSL 为原型开发的协议，有时会统一称该协议为 SSL，当前主流的版本是 SSL3.0 和 TLS1.0。
故再简化为Https = Http + SSL

相对于TCP或HTTP协议，SSL协议要复杂很多。由于它也是建立在TCP协议之上的，所以在使用SSL传输数据之前需要先进行三次握手和服务器建立连接，具体的流程如图所示：

https.png

SSL协议的握手过程

1. 客户端先给服务端发送一个消息，消息内容包括：客户端支持的加密方式，支持的压缩方法，SSL的版本号，客户端生成的随机数，文本内容“Hello”等；
2. 服务端接收到消息后，也回发一个Hello，并携带从客户端支持的加密方式中选择的加密方式，服务端生成的随机数，服务端的SSL版本号等信息；
3. 随后服务器给客户端发送一个Certificate报文，报文中包含服务端的公钥证书；
4. 紧接着服务器给客户端发送Server Hello Done, 表示最初的协商握手过程结束；
5. 客户端接收到服务端发送的握手结束的消息后，以Client Key Exchange作为回应，此报文中包含通信加密过程中使用的一种被称为Pre-master secret的随机密码串，并使用第三步接收到的公钥证书进行了加密；
6. 接着客户端发送Change Cipher Spec报文，该报文告知服务端，此步骤之后的所有数据将使用第五步中生成的master secret进行加密（master secret的生成过程看后面的介绍）；
7. 随后客户端发送Finish报文，此报文中包含连接至今所有报文的整体校验值，用于完整性验证；
8. 服务端接收到客户端发送的Change Cliper Spec报文后，同样以Change Cliper Spec报文作为回应；
9. 接着服务端发送Finish报文给客户端，表示服务端已正确解析客户端发送的整体校验值，至此，SSL握手的过程结束。
10. 随后开始使用HTTP协议传输使用master secret加密过的数据。

为了解决安全和效率问题，SSL使用了对称加密（加密和解密使用同样的密钥）和非对称加密（公钥加密，私钥解密）组合的方式：使用非对称加密的方式传输对称加密中生成密钥的种子（pre master secret）【对应上面的第五步】，然后使用对称加密的方式对通信数据进行加密【对应上面的第十步】，既保障了密钥的安全性，也提高了加密速度。

归纳ssl五次握手，或四次（将4、5合并）

1. 客户端请求建立SSL链接，并向服务端发送协议版本号、一个随机数–Client random和客户端支持的加密方法，比如RSA公钥加密，此时是明文传输。
2. 服务端回复一种客户端支持的加密方法、一个随机数–Server random、授信的服务器证书和非对称加密的公钥。
3. 客户端收到服务端的回复后，确认数字证书有效，然后生成新的随机数–Premaster secret 通过服务端下发的公钥及加密方法进行加密，发送给服务器。
4. 服务端收到客户端的回复，利用自己的私钥解密获得Premaster secret，
5. 服务端利用Client random、Server random和Premaster secret通过一定的算法生成HTTP链接数据传输的对称加密key – session key（包含于上面提到的master secret中），用来加密接下来的整个对话过程。

握手阶段有三点需要注意。

1. 生成对话密钥一共需要三个随机数。
2. 握手之后的对话使用"对话密钥"加密（对称加密），服务器的公钥和私钥只用于加密和解密"对话密钥"（非对称加密），无其他作用
3. 服务器公钥放在服务器的数字证书之中。

Master secret与session key
由于服务端和客户端都有一份相同的PreMaster secret和随机数，这个随机数将作为后面产生Master secret的种子，结合PreMaster secret，客户端和服务端将计算出同样的Master secret。
Master secret是有系列的hash值组成的，它将作为数据加解密相关的secret的Key Material。Master secret最终解析出来的数据如下：
其中，write MAC key，就是session secret或者说是session key。
Client write MAC key是客户端发数据的session secret，Server write MAC secret是服务端发送数据的session key。MAC(Message Authentication Code)，是一个数字签名，用来验证数据的完整性，可以检测到数据是否被串改。

证书
证书由值得信任的第三方机构颁发，用以证明服务器和客户端是实际存在的。
现在主要还是客户端去检验服务端的证书，客户端的证书还不够普及，如银行的网上银行就需要客户端证书。

HTTPS 比 HTTP 要慢 2 到 100 倍
SSL 的慢分两种。一种是指通信慢。另一种是指由于大量消耗CPU 及内存等资源，导致处理速度变慢。
和使用 HTTP 相比，网络负载可能会变慢 2 到 100 倍。除去和TCP 连接、发送 HTTP 请求 • 响应以外，还必须进行 SSL 通信，
因此整体上处理通信量不可避免会增加。另一点是 SSL 必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲，比起 HTTP 会更多地消耗服务器和客户端的硬件资源，导致负载增强。
针对速度变慢这一问题，并没有根本性的解决方案，我们会使用SSL 加速器这种（专用服务器）硬件来改善该问题。该硬件为SSL 通信专用硬件，相对软件来讲，能够提高数倍 SSL 的计算速度。仅在 SSL 处理时发挥 SSL 加速器的功效，以分担负载。

补充

从URL输入到页面展现到底发生什么？

1. DNS 解析:将域名解析成 IP 地址
2. TCP 连接：TCP 三次握手
3. 发送 HTTP 请求
4. 服务器处理请求并返回 HTTP 报文
5. 浏览器解析渲染页面
6. 断开连接：TCP 四次挥手

三次握手

四次挥手

四次挥手

参考资料
Https详解
图解SSL/TLS协议-阮一峰
图解HTTP（书）
从URL输入到页面展现到底发生什么？