📝 本系列旨在介绍一系列网络安全相关的知识

https是什么？

HTTP（超文本传输协议）是一种用于传输网页（HTML文档）的协议。它定义了客户端（通常是网页浏览器）和服务器之间的通信规则。 HTTPS（全称是“超文本传输协议安全版”），是HTTP的安全版本。在HTTP和HTTPS中，“HTTP”代表“超文本传输协议”，它是互联网上用于传输网页的一种协议。而在HTTPS中，末尾的“S”代表“安全”。

早期互联网的HTTP

HTTP并不安全

HTTPS的“S”加密

HTTPS的历史

为什么谷歌把http标记为不安全

1. 1994年：网景通信公司（Netscape Communications）是最早推动加密网络传输技术的公司之一。他们开发了安全套接字层（SSL）协议，这是一种保护网络通信安全的标准技术。

2. 1995年：网景发布了SSL版本1.0，但它从未公开发布，因为存在安全漏洞。随后，他们很快推出了SSL 2.0，这个版本在当时已经开始提供基本的加密保护。

3. 1996年：SSL 3.0版本发布，这个版本比之前的版本有了显著改进，解决了许多安全问题。SSL 3.0被广泛认为是第一个真正安全的版本，为现代HTTPS加密奠定了基础。

4. 1999年：传输层安全（TLS）协议1.0发布，作为SSL 3.0的后继者。TLS由互联网工程任务组（IETF）标准化，随着时间的推移，TLS逐渐取代了SSL。

5. 2000年代初：随着电子商务和在线银行的兴起，对网络安全的需求显著增加，HTTPS开始广泛用于保护在线交易。

6. 2010年代：随着互联网安全意识的提高，HTTPS从主要用于保护敏感交易，转变为一种网站的标准安全实践。搜索引擎和浏览器开始优先推荐使用HTTPS的网站，甚至对未采用HTTPS的网站给予负面标记。

7. 2018年：谷歌Chrome浏览器开始将所有未使用HTTPS的网站标记为“不安全”，这促使更多网站转向HTTPS。

HTTPS的加密方式

非对称加密！

现在，你写好了信，把它放进一个箱子里，然后用你朋友给你的那把特殊的锁锁上。你把这个箱子交给了邮递员。假设途中真的有个好奇的邮递员或者别的不怀好意的人（“黑客”）拦截了这个箱子。他们看到上面有锁，但他们没有钥匙，所以无法打开箱子来看看里面有什么。他们也不能替换里面的内容，因为一旦打开锁，就无法再用同一把锁锁上。

这就是为什么“S”出现了。“S”代表“Secure”，即“安全”。当网站使用HTTPS而不是HTTP时，它们就像是在我们的故事中给信件加上了一个特殊的锁。通过使用SSL（安全套接字层）或TLS（传输层安全）技术，HTTPS在数据传输过程中加密信息，确保即使数据在途中被拦截，没有对应的密钥也无法解读数据内容。

CA机构——钥匙从哪来，如何判断是不是假钥匙？

钥匙从何而来？有钥匙就安全吗？

1. 早期的CA：随着互联网的发展，需要一个可信的第三方来验证公钥的真实性，这就是CA的角色。最初的CA是随着互联网的商业化和电子商务的崛起在1990年代形成的。

2. CA的角色：CA的主要职责是验证申请数字证书的实体（个人、组织、服务器等）的身份，并颁发证书。这个证书将实体的身份与其公钥相关联，证明该公钥确实属于该实体。

3. CA和公钥的关系：CA通过颁发包含公钥的数字证书来确保公钥的真实性。这些证书是由CA的私钥签名的，因此任何人都可以使用CA的公钥来验证证书的真实性。

4. 信任链：在这个体系中，用户必须信任CA，因为CA的角色是建立和保持整个公钥验证体系的信任。操作系统和浏览器通常预装了受信任的CA列表，用于验证证书的真实性。

慢着慢着，HTTPS的公私钥我还没搞懂捏！CA又是个啥？ 其实你点开网页连接的信息就能看到。（等会再介绍CA证书的组成结构）

1. 验证和证书颁发：

1. 使用CA证书：

1. 增加的安全性：

CA证书的组成

一个机构颁发的一堆证书如何写作的捏？

• 主题：证书的主题部分，包含证书持有者的相关信息。

• 颁发者：证书的颁发机构信息。

• 序列号：证书的唯一标识符。

• 有效起始 和 有效终止：证书的有效期限。

• 公钥：证书持有者的公开密钥。（就用这个上锁）

• 签名算法：用于签名证书的算法。

• 签名值：证书的数字签名。

啥是“根证书”

证书的层级结构

Root certificate

In cryptography and computer security, a root certificate is a public key certificate that identifies a root certificate authority (CA). Root certificates are self-signed and form the basis of an X.509-based public key infrastructure (PKI). Either it has matched Authority Key Identifier with Subject Key Identifier, in some cases there is no Authority Key identifier, then Issuer string should match with Subject string. For instance, the PKIs supporting HTTPS for secure web browsing and electronic signature schemes depend on a set of root certificates.

https://en.wikipedia.org/wiki/Root_certificate

证书黑历史

当顶级证书失去了信用

CNNIC，我不信任你！——从“受信任的根证书”里赶走CNNIC | Felix's Blog

出于对CNNIC深深的不信任，我决定将CNNIC ROOT从“受信任”的列表里赶出去。因为IE/Chrome采用微软的CA目录，而微软现在暂未将CNNIC加入，因此需要先从Firefox中导出这几个证书。

https://felixc.at/2010/01/throw-out-cnnic/

综述：CNNIC五年“争议”化生存_互联网-国内_科技时代_新浪网

2002年6月3日，是中国互联网络信息中心(China Internet Network Information Centre CNNIC)成立5周年的日子。5年间弹指一挥，CNNIC见证了中国互联网从无到有、由高峰到低谷的惊心动魄的一幕。不可否认，作为中国互联网的官方指定管理与服务性机构，CNNIC在域名、IP地址、国际交流以及互联网信息服务等方面为中国互联网事业充当了奠基者的角色；同样不可否认的是，自从CNNIC走出前台开始，商业公司和媒体围绕CNNIC的争议就从来没有停止过。

https://tech.sina.com.cn/i/c/2002-06-04/118907.shtml

CNNIC的争议

1. 中间人攻击风险：2015年，Google发现CNNIC的一个下级证书颁发机构（中间CA）未经授权地颁发了数字证书给一家埃及公司。这些证书可以用于所谓的“中间人攻击”，在用户与网站之间窃取或篡改数据。

2. 信任撤销：由于这个事件，Google和Mozilla（Firefox的开发者）决定撤销对CNNIC证书的信任。这意味着使用这些浏览器的用户访问由CNNIC签发证书的网站时，会收到安全警告。

影响与后果

现状与改进

🤗 总结归纳

📎 当然，这还不是https加密的全部，有兴趣的同学可以自己继续学习。

1. 双向验证：在我们的故事中，只描述了单向的加密过程——你给服务器发送加密信息。但在实际的HTTPS连接中，通常还包括服务器到客户端的加密，确保双向通信都是安全的。

2. 握手协议：HTTPS建立连接时，会进行一个称为“SSL握手”的过程。这个过程包括密钥交换、证书验证，以及协商加密方法等多个步骤。虽然这个过程在我们的故事中没有详细描述，但它对于建立一个安全的HTTPS连接来说至关重要。

3. 临时密钥：在实际的HTTPS连接中，还涉及到一种称为对称加密的技术，用于实际的数据传输。这通常是通过在握手过程中生成一个共享的临时密钥完成的，这个密钥只在当前会话中有效。