HTTPS原理及流程

https實現原理：https連線可以分為三個階段：

1、證書校驗：當瀏覽器向伺服器傳送請求時，伺服器會將包含伺服器公鑰的證書返回給瀏覽器，瀏覽器得到證書後會對證書中的資訊進行一系列的驗證，包括驗證網域名稱、是否過期、簽發機構等資訊。

2、對稱金鑰協商：證書驗證通過後，瀏覽器在本地生成並快取乙個隨機串，用伺服器的公鑰將這個隨機串加密並傳遞給伺服器，伺服器以自己本地的私鑰解密這個隨機串，然後以解密出來的隨機串作為對稱金鑰，至此就完成了對稱金鑰的協商。

3、業務資料傳輸：完成對稱金鑰協商後，後續業務資料的傳輸兩端都使用這個對稱金鑰加解密。

為什麼使用非對稱方式來協商金鑰：因為整個過程中非對稱金鑰的的公鑰是可以公開的，對稱金鑰則不能公開。非對稱金鑰也就可以通過網路自由分發了，所以利用非對稱金鑰來傳遞對稱金鑰能保證對稱金鑰的安全性。同時整個過程中只是用了一套非對稱金鑰，實現成本得到了控制。

為什麼不是用非對稱金鑰來加密數：這是應為非對稱加密的效率遠低於對稱加密，所以對於大量業務資料的傳輸，對稱金鑰更適合。

中間人攻擊：是指攻擊者利用dns劫持等手段將使用者請求引導到惡意的中間**上，使使用者與乙個假冒的站點通訊，使用者將資料傳送到假的站點後，攻擊者就可解密獲得使用者真實資料，然後拿著這些使用者資料到合法**冒充使用者操作。

為什麼證書需要ca機構簽發：首先ca機構是被業界認可的權威機構，這些機構會為他們簽發的證書負責，從而避免中間人攻擊，ca證書就是用來給瀏覽器判定**合法性的。ca機構根證書在計算機本地都有快取，瀏覽器收到業務伺服器的證書後，可以利用本地快取的根證書對伺服器證書進行校驗。