每天上网，你有没有注意到网站有什么不同？本文主要就https与http的异同进行分析和探索，并与大家分享。

0

谷歌Chrome浏览器提示不安全的网址：

微信不安全网站打开提示“防止诈骗盗窃，请勿付款或输入qq密码”:

小王纳闷，我们什么都没做啊，为什么不安全呢？经过一番研究，原来是网站自己的产品，都是http开头，而不是https开头，和程序猿哥沟通后，所有链接都改成了https，不会有这样的提示。

要了解什么是https，首先要了解什么是http。

HTTP (HyperText Transfer Protocol)是Internet上应用最广泛的网络传输协议。所有的WWW文件都必须符合这个标准。我们经常我的网站，手机H5，甚至很多后台服务器接口，都是使用HTTP协议实现的。

因此，我们需要访问百度，并在浏览器中输入http://www.baidu.com以进入百度的网站。当然，如果您没有键入http://，浏览器将自动为您完成这一部分。

例如，在谷歌浏览器中，输入sports.sina.com.cn/nba/进入新浪体育的NBA频道，然后点击地址栏复制URL。找个地方再贴一遍：http://sports.sina.com.cn/nba/，可以看到前面有http://协议的标志。

HTTP传输简单灵活。但使用明文传输。请求和响应不确认通信方，数据完整性无法保护，传输内容容易被盗取。

什么是http？

HTTPS(全称：SecureSocket Layer超文本传输协议)是一种以安全为目标的HTTP通道。基于HTTP协议，通过传输加密和身份认证来保证传输安全。

当web内容通过https传输时，客户端和服务器使用“非对称加密算法”交换密钥。服务器(上图中的红色)生成一个公钥和一个密钥。在将公钥与证书封装之后，将证书提供给用户，即上图中的小明。

什么是https？为什么要用https

CA证书是由颁发数字证书的CA (Certificate Authority)颁发给相应公司的数字证书。CA是负责颁发和管理数字证书的权威机构。CA作为电子商务交易中受信任的第三方，负责验证公钥系统中公钥的合法性。一般来说，办证业务是要收费的。

世界上有很多证书颁发机构，程序猿哥也可以自己生成证书，但是很多证书都是“不可信”的，我们使用微信、谷歌Chrome浏览器、iPhone iOS系统等，只选择信任那些拥有证书颁发机构颁发的证书的人。

证书颁发机构就像我们使用的四方快车。人们选择快递是因为他们觉得自己值得信任，而且快递被掉包的几率很低。而那些小公司，或者自发证书，就像一个闻所未闻的快递公司，人们去选择他们来收发快递，也不是无法使用，而是快递被盗的概率可能会增加。

用户从服务器获取证书后，认为该证书是可信任的，打开该证书获取其中的公钥。同时，用户生成一个随机字符串，用服务器的公钥对字符串进行加密，并将加密后的内容发送给服务费。

服务器获取用户发送的密文后，使用私钥进行解密，就得到了用户的密码。这个过程被称为非对称加密。

服务器知道用户密码后，双方用用户生成的密码对数据进行加密，再传给另一方，由对方用密码对数据进行解密。当加密和解密都使用相同的密钥时，这个过程称为对称加密。

https的传输过程是这样的。非对称加密是通过获取双方的对称秘钥，然后双方使用该对称秘钥进行数据传输和加密。这样，双方都能实现安全与速度的兼顾。由于采用了密文传输，第三方无法窃听用户与服务器之间传输的内容，从而提高了网站的安全性。

但这时，小王又想到了另一个问题，平时出bug的时候，程序猿哥总是说抓包抓包，要抓包看到底是什么导致了错误，我们的网站使用的是https协议，数据是加密的，那什么都不知道，那么遇到bug怎么办呢？然后程序员哥哥笑着说：其实没什么，https也可以抓包，只需要在上面安装一个证书。

正如在前一篇文章中提到的，服务器在将公钥发送给用户时使用证书来封装公钥，就像我们向某人发送东西时，我们将它包装在快递袋中，然后发送出去一样。如果我们选择了不可靠的快递公司，快递员就会偷偷打开包裹，改变里面的内容(或者只是打开看看里面是什么)，重新包装，然后把包裹交给另一个人，从而实现了https捕获过程。

程序猿哥说的“安装证书”，其实就是信任抓包软件的第三方证书，然后“黑快递员”，作为不诚实的中间人，窃取用户生成的对称秘钥，然后连续记录用户与服务器之间的密文传输，并用偷来的秘钥解密，这样我们就知道他们之间发生了什么。

小王这时突然意识到，难怪网络上常说，电脑和手机不安装软件，虽然网站使用https加密传输内容，但如果自己的手机安装了类似杀毒软件的软件，这时就相当于把自己的账号密码、聊天内容都分发出去了!