web安全之https详细介绍和使用以及阿里云配置https证书

什么是Https协议

 

HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer），简单来讲就是加了安全的HTTP，即HTTP+SSL；我们知道HTTP通讯时，如果客户端C请求服务器S，那么可以通过网络抓包的形式来获取信息，甚至可以模拟服务器S端，来骗取与C端的通讯信息；这对互联网应用在安全领域的推广非常不利；HTTPS解决了这个问题,HTTPS底层使用了SSL协议进行安全认证传输.

 

什么是SSL协议

安全套接字（Secure Socket Layer，SSL）协议是Web浏览器与Web服务器之间安全交换信息的协议，提供两个基本的安全服务：鉴别与保密。

SSL是Netscape于1994年开发的，后来成为了世界上最著名的web安全机制，所有主要的浏览器都支持SSL协议

目前有三个版本：2、3、3.1，最常用的是第3版，是1995年发布的。

SSL协议的三个特性

① 保密：在握手协议中定义了会话**后，所有的消息都被加密。

② 鉴别：可选的客户端认证，和强制的服务器端认证。

③ 完整性：传送的消息包括消息完整性检查（使用MAC）。

 

Https与Http区别

1）HTTPS的服务器需要申请证书；

2）HTTP信息是明文传输，HTTPS信息是密文传输；

3）HTTP与HTTPS的端口不同，一个是80端口，一个是443端口；

可以说HTTP与HTTPS是完全不同的连接方式，HTTPS集合了加密传输，身份认证，更加的安全。

在微信小程序里面都限制只能有https协议、搜索引擎排名都对https优先收录

 

https要知道的几个加密算法

1.握手的时候使用的非对称加密算法 ，用来加密握手之后的请求和应答

2.传输信息的时候使用的对称加密，

3.保证数据的完整性用的是hash算法(数字签名)

 

HTTPS的请求过程

1. 客户端发出https请求到服务器

2. 服务器返回证书和公钥

3. 客户端验证证书是否有效

4. 客户端生成一个随机数

5. 使用服务器传过来的公钥对随机数进行加密

6.将加密后的随机数传给服务器用于进行客户端和服务器双方对称加密使用的秘钥.

7. 服务器使用私钥对随机数进行解密

8.使用随机数作为加密秘钥加密数据传输给客户端

9. 客户端使用随机数解密数据,完成一次https安全认证传输(有点类似于TCP三次握手)

 

阿里云服务器配置https证书

1. 首先去阿里云申请一个免费的https证书,先登录阿里云官网

2. 进入到控制台中,并点击SSL证书

 

3. 点击购买证书

4. 点击免费类型即可获取到一年的苗费使用SSL证书

 

 

 

如果需要配置SSL证书到服务器,推荐使用nginx进行https证书配置,这也是目前最主流的使用方式

配置的步骤在阿里云中有详细介绍,可自行参考