这和我有什么关系?

HTTPS是什么?

有什么用?

首先提出致命三问

如今,中国拥有高达10亿的网民,这一庞大的数字深刻地揭示了网络在我们日常生活中的重要性。网络已经无处不在,它不仅仅是一种工具,更是我们生活的一部分,深深地影响着我们的思维方式、工作模式、社交习惯以及娱乐方式。

你是否注意过,访问银行、购物网站时,网址前总会有个小锁头标志,URL 开头是https://?这就是互联网世界的 “安全卫士”——HTTPS。今天我们就来拆解这个 “安全卫士” 的核心秘密:HTTPS 是什么?有什么用?以及它背后的关键角色 ——CA 证书。

一、HTTPS:给 HTTP 穿上 “加密防弹衣”

HTTPS = HTTP + SSL/TLS,简单来说,就是给传统的 HTTP 协议套上了一层 “加密保护壳”。
我们知道,HTTP 协议是明文传输的(比如你输入的账号密码、搜索关键词),就像用 “大喇叭” 在网络上喊话,黑客可以轻松 “偷听” 甚至篡改数据。而 HTTPS 通过SSL/TLS 协议(安全套接层 / 传输层安全协议)对数据加密,让传输过程变成 “加密密信”,只有发送方和接收方才能解密阅读。


HTTPS 的三大核心作用

  1. 防窃听:数据加密后传输,黑客截获也无法直接读取;

  2. 防篡改:通过哈希算法校验数据完整性,一旦被修改会立即被发现;

  3. 防冒充:通过 CA 证书验证网站身份,防止钓鱼网站伪装成正规平台。

CA(Certificate Authority,证书授权)

由权威机构(不一定够权威)颁发的证书,用来验证当前网址和提供数据服务器的身份认证。

二、HTTPS 的 “握手仪式”:如何建立安全连接?

HTTPS 的安全不是一蹴而就的,它需要客户端(如浏览器)和服务器通过一场 “握手仪式”,协商出一套专属的加密规则。整个过程可以分为 4 步:

1. 客户端 “打招呼”(Client Hello)

浏览器首先告诉服务器:“我支持这些加密算法(比如 RSA、AES),这是我的随机数,咱们用哪个?” 同时,浏览器还会发送自己支持的 TLS 版本(如 TLS 1.3)。

2. 服务器 “回应 + 亮证”(Server Hello + 证书)

服务器从浏览器支持的算法中选一个,回传自己的随机数,并附上数字证书(由 CA 颁发的 “身份证”)。这张证书里包含服务器的公钥、网站域名、证书有效期等关键信息。

3. 客户端 “验明正身”(验证证书)

浏览器收到证书后,会用内置的CA 根证书验证证书的 “真伪”:

  • 检查证书是否由受信任的 CA 颁发(比如 DigiCert、Let’s Encrypt);

  • 确认证书未过期、域名匹配(防止钓鱼网站);

  • 通过 CA 的公钥验证证书的数字签名是否有效(签名由 CA 私钥生成,确保证书未被篡改)。

如果证书有问题(比如是伪造的),浏览器会弹出警告:“该网站安全证书有问题!”

4. 生成 “会话密钥”(安全通信的钥匙)


验证通过后,浏览器用服务器公钥加密一个 “预主密钥”(Pre-Master Secret)传给服务器。双方再结合之前的两个随机数,生成最终的会话密钥(对称加密密钥)。之后,所有通信都用这个密钥加密,速度快且安全。


没看懂?没关系,握手是TLS协议中最精密的部分,之后会在别的文章中详细介绍。

💡 小知识:为什么用 “非对称加密 + 对称加密” 组合?
非对称加密(如 RSA)适合交换密钥(公钥加密,私钥解密),但速度慢;对称加密(如 AES)速度快,但需要安全传输密钥。两者结合,既保证了安全,又提升了效率。


三、CA 证书:互联网世界的 “身份证局”


如果说 HTTPS 是 “加密通道”,那么 CA 证书就是这条通道的 “身份验证关卡”。


CA 是什么?


CA(Certificate Authority,证书颁发机构)是被全球信任的第三方机构,相当于互联网的 “身份证局”。它的核心职责是验证网站身份,并为合法网站颁发数字证书(包含网站公钥和 CA 签名的 “电子身份证”)。


为什么需要 CA?

假设没有 CA,服务器直接把公钥发给浏览器,黑客可以冒充服务器,发送自己的公钥(中间人攻击)。而 CA 的存在,相当于给公钥 “盖章”:“这个公钥确实属于 XX 网站,我以权威机构的信用担保!”

浏览器内置了全球主流 CA 的根证书(如微软、苹果认可的 CA),拿到服务器证书后,会用 CA 根证书的公钥验证签名,确认证书的真实性。


CA 证书的颁发流程


  1. 网站申请:网站所有人向 CA 提交公司资质、域名所有权等证明;

  2. CA 审核:CA 严格验证网站身份(企业级证书需人工审核,域名型证书自动验证域名管理权);这一步可以通过验证DNS信息来完成,比如增加一条txt解析,CA会自行验证。

  3. 颁发证书:审核通过后,CA 用自己的私钥对网站公钥、域名、有效期等信息进行签名,生成数字证书;这样用户可以使用CA公钥来确认网站的信息,CA的公钥是存储在用户的浏览器或者系统中的

  4. 部署使用:网站将证书部署到服务器,用户访问时通过 HTTPS 握手流程验证证书。



四、常见问题 Q&A


Q:免费 CA 证书安全吗?
A:安全!比如 Let’s Encrypt 是全球知名的免费 CA,由互联网安全研究小组(ISRG)运营,符合浏览器信任标准。免费证书和付费证书的区别主要是审核严格程度(企业级证书需验证公司资质,域名型证书仅验证域名)。

Q:浏览器提示 “证书过期” 怎么办?
A:证书有固定有效期(通常 1个月、3个月、1 年)。过期后,浏览器无法验证网站身份,需网站管理员及时向 CA 申请续期或重新颁发。

Q:所有网站都必须用 HTTPS 吗?
A:从 2020 年起,Chrome、Firefox 等主流浏览器已将 HTTP 网站标记为 “不安全”;电商、金融等涉及隐私的网站必须用 HTTPS;2023 年起,苹果 App Store 要求所有应用默认使用 HTTPS 连接。可以说,HTTPS 已成为互联网的 “基础安全标配”。


结语


HTTPS 和 CA 证书,一个是加密传输的 “保护盾”,一个是身份验证的 “信任锚”,共同构建了我们今天安全的网络环境。下次访问网站看到小锁头标志时,不妨想想背后这场精密的 “握手仪式”—— 正是无数技术细节的协作,才让我们能安心 “网上冲浪”。

引用

  1. Ivan Ristić.HTTPS权威指南[M].人民邮电出版社:2016-9

  2. CA证书_百度百科