HTTPS真的安全吗？会被抓包破解？5个关键问题讲透

很多人都知道HTTPS协议之所以安全，是因为它会对传输的数据进行加密。不过你可能有所不知，在加密过程中真正起关键作用的其实是对称加密，而非对称加密仅在证书验证阶段发挥作用。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

随着HTTPS建站成本的下降，如今绝大多数网站都已启用HTTPS协议。众所周知HTTPS比HTTP更安全，你也可能听说过SSL、非对称加密、CA证书等相关概念，但若要回答下面三个核心问题，可能就有些困难了：

为什么使用了HTTPS就是安全的？HTTPS的底层原理如何实现？用了HTTPS就一定安全吗？

本文将层层深入，从技术原理上透彻解析HTTPS的安全机制。

HTTPS的实现原理

普遍认为HTTPS协议的安全基础在于其对传输数据的加密能力，但实际上内容传输阶段使用的是对称加密，非对称加密仅用于证书验证环节。

HTTPS的整体流程分为证书验证和数据传输两个阶段，具体的交互过程如下：

图片

① 证书验证阶段

浏览器发起HTTPS请求后，服务端会返回SSL证书。客户端需要验证证书的合法性，若证书不合法则会显示警告提示

② 数据传输阶段

当证书验证通过后，客户端会在本地生成随机数，使用公钥加密随机数后传输至服务端。服务端通过私钥对随机数进行解密后，基于客户端传入的随机数构建对称加密算法，对返回结果内容进行加密后传输

为什么数据传输是用对称加密？

首先，非对称加密的解密效率较低，而HTTP应用场景中通常存在大量的端到端交互，非对称加密的效率令人难以接受。

其次，在HTTPS的场景中只有服务端保存了私钥，一对公私钥只能实现单向的加解密，所以HTTPS中内容传输加密采取的是对称加密，而不是非对称加密。

为什么需要CA认证机构颁发证书？

HTTP协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器，而HTTPS协议主要解决的便是网络传输的安全性问题。

假设不存在认证机构，任何人都可以制作证书，这带来的安全风险便是经典的"中间人攻击"问题。"中间人攻击"的具体过程如下：

图片

过程原理：

本地请求被劫持后，所有请求均发送到中间人的服务器。中间人服务器返回自己的证书，客户端创建随机数，通过中间人证书的公钥对随机数加密后传送给中间人，然后客户端随机数构造对称加密算法对传输内容进行加密传输。中间人由于拥有客户端的随机数，可以通过对称加密算法进行内容解密。中间人以客户端的请求内容再次向正规网站发起请求，当中间人与服务器的通信过程是合法的，正规网站通过建立的安全通道返回加密后的数据。中间人凭借与客户端建立的对称加密算法对返回结果数据进行解密，然后使用与正规网站建立的对称加密算法对内容进行加密传输。客户端通过与中间人建立的对称加密算法对返回结果数据进行解密。

由于缺少对证书的验证，所以客户端虽然发起的是HTTPS请求，但客户端完全不知道自己的网络已被拦截，传输内容被中间人全部窃取。

浏览器是如何确保CA证书的合法性？

1.证书包含什么信息？

颁发机构信息、公钥、公司信息、域名、有效期、指纹……

2.证书的合法性依据是什么？

首先，权威机构是需要认证的，不是随便一个机构都有资格颁发证书，不然也不叫权威机构。另外，证书的可信性基于信任制，权威机构需要对其颁发的证书进行信用背书，只要是权威机构生成的证书，我们就认为是合法的。所以权威机构会对申请者的信息进行审核，不同等级的权威机构对审核的要求不一样，于是证书也分为免费的、便宜的和贵的。

3.浏览器如何验证证书的合法性？

浏览器发起HTTPS请求时，服务器会返回SSL证书，浏览器需要对证书做以下验证：

验证域名、有效期等信息是否正确。证书上都包含这些信息，比较易完成验证；判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书，操作系统、浏览器会在本地存储权威机构的根证书，利用本地根证书可以完成对应签发证书的来源验证；

图片

判断证书是否被篡改。需要与CA服务器进行校验；判断证书是否已吊销。通过CRL和OCSP实现，其中OCSP可用于第3步中减少与CA服务器的交互，提高验证效率。