1.背景

经常都在说http、https,都知道https是安全的，

但是，

为什么说http不安全呢？

为什么又说https是安全的呢？

接下来我将使用通俗易懂的方式给大家分析一下.......

2.深入解析

从下图可以看出，采用明文传输黑客可以直接获取。

表面上看采用对称加密后，就算黑客截取到数据没有key,也不知道数据内容

但问题是客户端怎么知道key呢？

如果给每个客户端都分配一个key,那么服务端要维护key与客户端的关系，这那么多客户端，这个数据维护将会很困难。

如果每个客户key一样，那么黑客也会知道key,加密就没有意义了。

从下图可知，采用非对称加密的问题在于服务端在给客户端发送数据时，黑客有公钥可以解密数据导致不安全。

1.客户端第一次请求的时候采用公钥加密，将key传到服务端，因为公钥加密的数据只有私钥才可以解密，所以是安全的的；

2.服务端接收到加密数据后，使用私钥解密，得到key；

3.在后面的请求中服务端客户端采用对称加密，key为加密码；

如下图：

表面上看无懈可击，因为只有客户端自己与服务端知道加密的key,是安全的的，

但是，大家有没有想过客户端在获取公钥时，如果黑客冒充服务端给了一个假的公钥给客户端

客户端使用假的公钥加密数据有发给黑客的服务端，这时候黑客有与假公钥配对的私钥，

那么黑客就可以解密客户端发送的信息，进而黑客用真的公钥加密数据发送给服务端，在中间起到一个信息转发的作用

这样一来，所有的信息黑客都知道了，并且可篡改........太不安全了....

如下图所示：

这里不安全的原因在于，获取到了黑客假的公钥，如果能保证公钥的真实性，那么这个方案就完美了

1.非对称加密+对称加密的方式不安全的根本原因是不能保证公钥的真实性

2.那么就产生的CA权威中心的概念，CA的角色就有点像，你说你是研究生毕业，别人不信呀，那怎么办，你的找一个权威机构（学校）颁发的证书别人才信

3.服务端就可以在CA权威中心申请一个证书，包括公钥pk2和私钥sk2

4.用户（客户端）的电脑上安装CA权威机构证书

基础的数据搞定后，接下来在分析一下请求流程

1.客户端向服务端发出请求获取公钥pk

2.服务端对公钥加密后返回给客户端pkdata,加密方式为：f(sk2,pk)=pkdata,这个pkdata只能是CA权威中心的公钥pk2才可以解密，得到服务端的公钥pk

3.客户端解密出公钥pk,解密方式为：f(pk2,pkdata)=pk,要解密这个客户端必须要有pk2,

那么这个pk2,从哪里来呢？CA权威中心通过网络获取，不行，这样会被黑客冒充

只能直接在客户端本地取，即：事先安装好证书，大家也可以查看直接电脑上已经安装好的证书，查看链接：https://jingyan.baidu.com/article/ff42efa9449a97c19f220250.html

4.非对称加密传递key到服务端，有了服务端的真实公钥pk后，用户就可以用公钥加密key发送到服务端；

5.服务端使用私钥解密获取到key;

6.之后的请服务端与客户端都采用key,进行对称加密传递数据；

黑客永远木有办法了...除非CA有内鬼......哈哈哈

完美！