“網(wǎng)紅”HTTPS加密協(xié)議到底牛在哪兒？

　　相信這些經(jīng)歷你一定不陌生，瀏覽網(wǎng)頁(yè)時(shí)，動(dòng)不動(dòng)就被插了個(gè)“屠龍寶刀”游戲廣告小窗口;明明下載的是文件解壓軟件，下載到本地就變成了殺毒、瀏覽器、播放器軟件;點(diǎn)擊的網(wǎng)頁(yè)鏈接是某企業(yè)官網(wǎng)，打開的卻是澳門博彩網(wǎng)站。

　　這些現(xiàn)象其實(shí)都與網(wǎng)絡(luò)流量劫持有關(guān)，而背后更是隱藏了一場(chǎng)沒有硝煙的戰(zhàn)爭(zhēng)。在長(zhǎng)達(dá)30多年的互聯(lián)網(wǎng)發(fā)展史中，圍繞HTTP的保衛(wèi)戰(zhàn)從來沒有停止過。

　　“裸奔”的HTTP世界

　　1982年，Internet(互聯(lián)網(wǎng))這個(gè)名詞，第一次出現(xiàn)在人類社會(huì)的定義中。

　　1993年，在大洋彼岸的美國(guó)，“互聯(lián)網(wǎng)”開始如野草般無預(yù)兆地瘋狂生長(zhǎng)，并先后誕生了如網(wǎng)景(NetScape)、雅虎(Yahoo)這樣的互聯(lián)網(wǎng)公司。

　　那時(shí)候的互聯(lián)網(wǎng)，建立在底層協(xié)議HTTP之上，一切都是明文傳輸，信息如汪洋大海般自由流淌，這種盛況無疑是令人悸動(dòng)的。

　　然而，在HTTP明文傳輸?shù)氖澜缋?，所有傳輸?shù)臄?shù)據(jù)，包括個(gè)人信息，郵箱密碼、銀行賬號(hào)等機(jī)密數(shù)據(jù)都在無形中“裸奔”，這使得“壞人”竊取也變得輕而易舉。

　　不僅如此，在過去的30多年中，劫持網(wǎng)頁(yè)流量一直是各路黑客們的鐘愛，HTTP協(xié)議使得流量在傳輸途中可以隨心所欲地被黑客控制。

　　面對(duì)肆無忌憚的黑客入侵，互聯(lián)網(wǎng)公司們顯然不愿坐以待斃。

　　加密的SSL協(xié)議

　　1994年，NetScape公司設(shè)計(jì)了SSL協(xié)議(Secure Sockets Layer)的1.0版，但未發(fā)布，其基本思路是利用數(shù)據(jù)加密技術(shù)，確保數(shù)據(jù)在客戶端和服務(wù)器之間的傳輸過程中，不被截取及竊聽。

　　然而，NetScape隨后發(fā)布的SSL2.0版本很快被發(fā)現(xiàn)有嚴(yán)重漏洞，直到1996年，SSL3.0版本才通過驗(yàn)證，從此得以大規(guī)模應(yīng)用，越來越多的互聯(lián)網(wǎng)公司加入到SSL協(xié)議的行列中。

　　1999年，互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織ISOC接替NetScape公司，發(fā)布了SSL的升級(jí)版TLS 1.0版。

　　2006年和2008年，TLS進(jìn)行了兩次升級(jí)，分別為TLS 1.1和TLS 1.2。目前，主流瀏覽器都已實(shí)現(xiàn)了TLS 1.2的支持。

　　SSL/TLS協(xié)議的出現(xiàn)，主要解決了HTTP的三大風(fēng)險(xiǎn)：

　　(1) 所有信息都是加密傳輸，第三方無法竊聽。

　　(2) 具有校驗(yàn)機(jī)制，一旦被篡改，通信雙方會(huì)立刻發(fā)現(xiàn)。

　　(3) 配備身份證書，防止身份被冒充

　　其實(shí)，我們會(huì)發(fā)現(xiàn)部分網(wǎng)址的顯示已經(jīng)從Http：//變成了Https：//，多出來的這個(gè)字母“S”，正是代表該網(wǎng)頁(yè)采用了SSL協(xié)議，可以進(jìn)行加密傳輸，并確保其信息數(shù)據(jù)安全。

　　簡(jiǎn)單來說，HTTPS=HTTP+SSL。有了SSL的加持，HTTPS比HTTP協(xié)議更安全。

　　那么，HTTPS到底是如何在網(wǎng)站加密傳輸中發(fā)揮作用的呢?

　　“公證”的CA機(jī)構(gòu)及證書

　　HTTPS使用SSL協(xié)議，是通過加密的方式將明文變成密文，并在客戶端和服務(wù)器之間傳遞，這就如同一封投遞出去的“密碼情報(bào)”，加密和解密需要發(fā)送方和接受方通過交換共知的密鑰來實(shí)現(xiàn)。

　　當(dāng)然，還有一個(gè)非常重要的前提，“密碼情報(bào)”必須傳遞給“對(duì)的人”。

　　舉個(gè)例子，如果我向一個(gè)陌生人證明“我就是我”，對(duì)方不一定相信。但是如果我拿出自己的身份證，對(duì)方立刻就能確認(rèn)“我就是我”。原因很簡(jiǎn)單，身份證是由國(guó)家執(zhí)法機(jī)構(gòu)頒發(fā)的認(rèn)證文件，具有權(quán)威性和公信力。

　　同樣，在互聯(lián)網(wǎng)世界，也有這樣一個(gè)權(quán)威的“公證人”角色，全名叫“數(shù)字證書認(rèn)證機(jī)構(gòu)(Certificate Authority)”，簡(jiǎn)稱CA機(jī)構(gòu)，由它頒發(fā)的SSL認(rèn)證文件，被稱為“SSL證書”。

　　由權(quán)威CA機(jī)構(gòu)頒發(fā)的SSL證書，就類似于互聯(lián)網(wǎng)世界的通行證，將其部署到網(wǎng)站服務(wù)器上，即可實(shí)現(xiàn)網(wǎng)站的身份認(rèn)證和信息加密傳輸。

　　目前，全球主流的CA機(jī)構(gòu)有Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等。

　　在中國(guó)，獲得工信部設(shè)立許可，能夠提供數(shù)字證書的CA機(jī)構(gòu)總共有43家，其中天威誠(chéng)信是首批由中國(guó)工信部批準(zhǔn)，且中國(guó)唯一一家由DigiCert/Symantec直接授權(quán)的CA認(rèn)證機(jī)構(gòu)，擁有最高的行業(yè)準(zhǔn)入標(biāo)準(zhǔn)。

　　不管對(duì)于企業(yè)還是個(gè)人用戶而言，安裝由權(quán)威CA機(jī)構(gòu)頒發(fā)的SSL證書，訪問HTTPS加密網(wǎng)站，才是網(wǎng)站的“正確打開方式”。