第7章 确保Web安全的HTTPS （2）HTTP + 加密 + 认证 + 完整性保护 = HTTPS

> HTTP + 加密 + 认证 + 完整性保护 = HTTPS

HTTPS是身披外壳的HTTP

HTTPS并不是一种协议。
HTTPS协议有两种组成： HTTP + SSL / TSL，也就是HTTP上层又加入了一层加密信息的模块。

HTTPS的通信过程

图很丑，但是还好，理解了自己独立画的。
推荐图解 HTTPS 通信过程
图很棒，也通俗易懂。

1、发送请求

2、服务器配置

服务器的配置，实用HTTPS必须要有一套数字证书。证书可以自己制作也可以向组织申请。证书其实就是公钥，包含了很多基本信息。（相关：非对称加密）

3、发送数字证书（公钥）

4、客户端验证数字证书

客户端使用TSL协议验证证书。（证书包括过期日期、颁发机构等。）验证通过则生成一段随机数。（后面会作为秘钥对reponse进行对称机密）发生异常则会弹出警告。

5、传送加密后的随机数

随机数使用数字证书进行非对称加密之后发送给服务端

6、服务端解密随机数

服务端使用私钥将随机数进行解密，之后将response以随机数为秘钥进行对称加密。

7、传送加密后的信息

8、客户端解密

HTTPS的缺点

由于客户端和服务端都需要进行加密解密，所以网络请求不可避免的会变慢。2个原因。
1、大量的加密解密给CPU增加了压力。
2、大量的加密解密需要一定的时间。