http協(xié)議屬于明文傳輸協(xié)議，交互過程以及數(shù)據(jù)傳輸都沒有進(jìn)行加密，通信雙方也沒有進(jìn)行任何認(rèn)證，通信過程非常容易遭遇劫持、監(jiān)聽、篡改，嚴(yán)重情況下，會(huì)造成惡意的流量劫持等問題，甚至造成個(gè)人隱私泄露（比如銀行卡卡號(hào)和密碼泄露）等嚴(yán)重的安全問題。

可以把http通信比喻成寄送信件一樣，A給B寄信，信件在寄送過程中，會(huì)經(jīng)過很多的郵遞員之手，他們可以拆開信讀取里面的內(nèi)容（因?yàn)閔ttp是明文傳輸?shù)模?。A的信件里面的任何內(nèi)容（包括各類賬號(hào)和密碼）都會(huì)被輕易竊取。除此之外，郵遞員們還可以偽造或者修改信件的內(nèi)容，導(dǎo)致B接收到的信件內(nèi)容是假的。

比如常見的，在http通信過程中，“中間人”將廣告鏈接嵌入到服務(wù)器發(fā)給用戶的http報(bào)文里，導(dǎo)致用戶界面出現(xiàn)很多不良鏈接；或者是修改用戶的請(qǐng)求頭URL，導(dǎo)致用戶的請(qǐng)求被劫持到另外一個(gè)網(wǎng)站，用戶的請(qǐng)求永遠(yuǎn)到不了真正的服務(wù)器。這些都會(huì)導(dǎo)致用戶得不到正確的服務(wù)，甚至是損失慘重。

非常的不安全

我們都知道HTTPS是安全的HTTP，那么HTTPS是如何保證通信過程的安全的呢？

如果服務(wù)器給客戶端的消息是密文的，只有服務(wù)器和客戶端才能讀懂，就可以保證數(shù)據(jù)的保密性。同時(shí)，在交換數(shù)據(jù)之前，驗(yàn)證一下對(duì)方的合法身份，就可以保證通信雙方的安全。（和我們平時(shí)開發(fā)中RSA加簽驗(yàn)簽，加密解密的過程比較像）。HTTPS就是利用了類似的原理來保證通信的安全性。

認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；

加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取；

維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。

SSL協(xié)議加密數(shù)據(jù)的原理

上面提到SSL協(xié)議會(huì)把通信的報(bào)文進(jìn)行加密，那么服務(wù)器把數(shù)據(jù)加密后，客戶端如何讀懂這些數(shù)據(jù)呢？服務(wù)器必須要把加密的密鑰（SSL中報(bào)文加密使用了對(duì)稱加密技術(shù)，比如DES，3DES，AES等）告訴客戶端，客戶端才能利用對(duì)稱密鑰解開密文的內(nèi)容。但是，服務(wù)器如果將這個(gè)對(duì)稱密鑰以明文的方式給客戶端，還是會(huì)被中間人截獲，中間人也會(huì)知道對(duì)稱密鑰，依然無法保證通信的保密性。但是，如果服務(wù)器以密文的方式將對(duì)稱密鑰發(fā)給客戶端，客戶端又如何解開這個(gè)密文，得到其中的對(duì)稱密鑰呢？

中間人劫持

上面的加密流程似乎很完美，也的確能將報(bào)文加密傳輸，但是這種方式還是不能抵御"中間人接觸"。三次握手或者客戶端發(fā)起HTTP請(qǐng)求過程中，客戶端的請(qǐng)求被中間人劫持，那么中間人就可以偽裝成“假冒客戶端”和服務(wù)器通信：

中間人在收到服務(wù)器發(fā)送給客戶端的公鑰（這里是“正確的公鑰”）后，并沒有發(fā)給客戶端，而是中間人將自己的公鑰（這里中間人也會(huì)有一對(duì)公鑰和私鑰，這里稱呼為“偽造公鑰”）發(fā)給客戶端。之后，客戶端把對(duì)稱密鑰用這個(gè)“偽造公鑰”加密后，發(fā)送過程中經(jīng)過了中間人，中間人就可以用自己的私鑰解密數(shù)據(jù)并拿到對(duì)稱密鑰，此時(shí)中間人再把對(duì)稱密鑰用“正確的公鑰”加密發(fā)回給服務(wù)器。此時(shí)，客戶端、中間人、服務(wù)器都擁有了一樣的對(duì)稱密鑰，后續(xù)客戶端和服務(wù)器的所有加密數(shù)據(jù)，中間人都可以通過對(duì)稱密鑰解密出來。

為了解決此問題，我們引入了數(shù)字證書的概念。服務(wù)器首先生成公私鑰，將公鑰提供給相關(guān)機(jī)構(gòu)（CA），CA將公鑰放入數(shù)字證書并將數(shù)字證書頒布給服務(wù)器，此時(shí)服務(wù)器就不是簡(jiǎn)單的把公鑰給客戶端，而是給客戶端一個(gè)數(shù)字證書，數(shù)字證書中加入了一些數(shù)字簽名的機(jī)制，保證了數(shù)字證書一定是服務(wù)器給客戶端的。中間人發(fā)送的偽造證書，不能夠獲得CA的認(rèn)證，此時(shí)，客戶端和服務(wù)器就知道通信被劫持了。