https雙向加密流程

1. https加密過程是怎樣的，是在七層協議的哪層工作的

第七層。

網路七層協議（OSI）是一個開放性的通信系統互連參考模型，從上到下分別是7應用層6表示層5會話層4傳輸層3網路層2數據鏈路層1物理層。第7應用層與其它計算機進行通訊的一個應用，它是對應應用程序的通信服務的。

例如，一個沒有通信功能的字處理程序就不能執行通信的代碼，從事字處理工作的程序員也不關心OSI的第7層。但是，如果添加了一個傳輸文件的選項，那麼字處理器的程序員就需要實現OSI的第7層。示例：TELNET，HTTP,FTP,NFS,SMTP等。

(1)https雙向加密流程擴展閱讀：

https優缺點

優點使用HTTPS協議可認證用戶和伺服器，確保數據發送到正確的客戶機和伺服器；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，要比HTTP協議安全，可防止數據在傳輸過程中不被竊取、改變，確保數據的完整性。

HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。缺點相同網路環境下，HTTPS協議會使頁面的載入時間延長近50%，增加10%到20%的耗電。此外，HTTPS協議還會影響緩存，增加數據開銷和功耗。

HTTPS協議的安全是有范圍的，在黑客攻擊、拒絕服務攻擊和伺服器劫持等方面幾乎起不到什麼作用。最關鍵的是，SSL證書的信用鏈體系並不安全。特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

2. HTTPS是什麼意思 HTTPS加密保證安全過程詳

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同於HTTP的默認埠及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司(Netscape)進行，並內置於其瀏覽器Netscape Navigator中，提供了身份驗證與加密通訊方法。現在它被廣泛用於萬維網上安全敏感的通訊，例如交易支付方面。

3. https是如何加密的

HTTPS其實是有兩部分組成：HTTP + SSL / TLS，也就是在HTTP上又加了一層處理加密信息的模塊。服務端和客戶端的信息傳輸都會通過TLS進行加密，所以傳輸的數據都是加密後的數據。具體是如何進行加密，解密，驗證的，且看下圖。

1. 客戶端發起HTTPS請求

這個沒什麼好說的，就是用戶在瀏覽器里輸入一個https網址，然後連接到server的443埠。

2. 服務端的配置

採用HTTPS協議的伺服器必須要有一套數字證書，可以自己製作，也可以向組織申請。區別就是自己頒發的證書需要客戶端驗證通過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。這套證書其實就是一對公鑰和私鑰。如果對公鑰和私鑰不太理解，可以想像成一把鑰匙和一個鎖頭，只是全世界只有你一個人有這把鑰匙，你可以把鎖頭給別人，別人可以用這個鎖把重要的東西鎖起來，然後發給你，因為只有你一個人有這把鑰匙，所以只有你才能看到被這把鎖鎖起來的東西。

3. 傳送證書

這個證書其實就是公鑰，只是包含了很多信息，如證書的頒發機構，過期時間等等。

4. 客戶端解析證書

這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發機構，過期時間等等，如果發現異常，則會彈出一個警告框，提示證書存在問題。如果證書沒有問題，那麼就生成一個隨機值。然後用證書對該隨機值進行加密。就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內容。

5. 傳送加密信息

這部分傳送的是用證書加密後的隨機值，目的就是讓服務端得到這個隨機值，以後客戶端和服務端的通信就可以通過這個隨機值來進行加密解密了。

6. 服務段解密信息

服務端用私鑰解密後，得到了客戶端傳過來的隨機值(私鑰)，然後把內容通過該值進行對稱加密。所謂對稱加密就是，將信息和私鑰通過某種演算法混合在一起，這樣除非知道私鑰，不然無法獲取內容，而正好客戶端和服務端都知道這個私鑰，所以只要加密演算法夠彪悍，私鑰夠復雜，數據就夠安全。

7. 傳輸加密後的信息

這部分信息是服務段用私鑰加密後的信息，可以在客戶端被還原。

8. 客戶端解密信息

客戶端用之前生成的私鑰解密服務段傳過來的信息，於是獲取了解密後的內容。整個過程第三方即使監聽到了數據，也束手無策。

4. https 為什麼是安全的

HTTPS 的實現原理

大家可能都聽說過 HTTPS 協議之所以是安全的是因為 HTTPS 協議會對傳輸的數據進行加密，而加密過程是使用了非對稱加密實現。但其實，HTTPS在內容傳輸的加密上使用的是對稱加密，非對稱加密只作用在證書驗證階段。
HTTPS的整體過程分為證書驗證和數據傳輸階段，具體的交互過程如下：

5. https如何進行加密傳輸

HTTPS在傳輸數據之前需要客戶端（瀏覽器）與服務端（網站）之間進行一次握手，在握手過程中將確立雙方加密傳輸數據的密碼信息。TLS/SSL協議不僅僅是一套加密傳輸的協議，更是一件經過藝術家精心設計的藝術品，TLS/SSL中使用了非對稱加密，對稱加密以及HASH演算法。握手過程的具體描述如下：
1.瀏覽器將自己支持的一套加密規則發送給網站。
2.網站從中選出一組加密演算法與HASH演算法，並將自己的身份信息以證書的形式發回給瀏覽器。證書裡麵包含了網站地址，加密公鑰，以及證書的頒發機構等信息。
3.瀏覽器獲得網站證書之後瀏覽器要做以下工作：
a) 驗證證書的合法性（頒發證書的機構是否合法，證書中包含的網站地址是否與正在訪問的地址一致等），如果證書受信任，則瀏覽器欄裡面會顯示一個小鎖頭，否則會給出證書不受信的提示。
b) 如果證書受信任，或者是用戶接受了不受信的證書，瀏覽器會生成一串隨機數的密碼，並用證書中提供的公鑰加密。
c) 使用約定好的HASH演算法計算握手消息，並使用生成的隨機數對消息進行加密，最後將之前生成的所有信息發送給網站。
4.網站接收瀏覽器發來的數據之後要做以下的操作：
a) 使用自己的私鑰將信息解密取出密碼，使用密碼解密瀏覽器發來的握手消息，並驗證HASH是否與瀏覽器發來的一致。
b) 使用密碼加密一段握手消息，發送給瀏覽器。
5.瀏覽器解密並計算握手消息的HASH，如果與服務端發來的HASH一致，此時握手過程結束，之後所有的通信數據將由之前瀏覽器生成的隨機密碼並利用對稱加密演算法進行加密。
這里瀏覽器與網站互相發送加密的握手消息並驗證，目的是為了保證雙方都獲得了一致的密碼，並且可以正常的加密解密數據，為後續真正數據的傳輸做一次測試。另外，HTTPS一般使用的加密與HASH演算法如下：
非對稱加密演算法：RSA，DSA/DSS
對稱加密演算法：AES，RC4，3DES
HASH演算法：MD5，SHA1，SHA256

6. 域名用https加密的具體操作急用啊！！！

域名進行https加密需要申請並安裝SSL證書。SSL證書申請流程如下：

第一步，生成並提交CSR（證書簽署請求）文件
CSR文件一般都可以通過在線生成（或伺服器上生成），申請人在製作的同時系統會產生兩個秘鑰，公鑰CSR和密鑰KEY。選擇了SSL證書申請之後，提交訂單並將製作生成的CSR文件一起提交到證書所在的CA頒發機構。
第二步，CA機構進行驗證
CA機構對提交的SSL證書申請有兩種驗證方式：
第一種是域名認證。系統自動會發送驗證郵件到域名的管理員郵箱（這個郵箱是通過WHOIS信息查詢到的域名聯系人郵箱）。管理員在收到郵件之後，確認無誤後點擊我確認完成郵件驗證。所有型號的SSL證書都必須進行域名認證。
第二種是企業相關信息認證。對於SSL證書申請的是OV SSL證書或者EV SSL證書的企業來說，除了域名認證，還得進行人工核實企業相關資料和信息，確保企業的真實性。
第三步，CA機構頒發證書
由於SSL證書申請的型號不同，所驗證的材料和方式有些區別，所以頒發時間也是不同的。
如果申請的是DV SSL證書最快10分鍾左右就能頒發。如果申請的是OV SSL證書或者EV SSL證書，一般3-7個工作日就能頒發。

7. https的加密機制，怎麼加密

HTTPS加密是在簽發信任機構的SSL證書。
數字證書的作用和原理概述：https://www.gworg.com/ssl/353.html
這種加密模式比較復雜的，他產生了中介數據交易驗證。

8. 怎麼正確理解 HTTPS 的加密

HTTPS協議在通信時，首先會採用公鑰加密的方式，把密鑰進行公鑰加密，然後傳輸給伺服器，伺服器使用私鑰解密出密鑰後，客戶端和伺服器即可建立起安全的訪問通道。在接下來的通信就會採用速度更快的共享密鑰加密的方式進行數據傳輸。這樣HTTPS協議就既擁有公鑰加密的安全性，同時也擁有了通用加密的高速的兩個優點。
對稱加密：加密和解密用同一個密鑰，客戶端對數據加密，服務端解密拿到數據。
非對稱加密：使用公鑰和私鑰，公鑰加密的內容只能私鑰解開，私鑰加密的內容所有公鑰都能解開；私鑰只保存在伺服器端，公鑰可以發送給所有客戶端，可以保證客戶端通過公鑰加密的內容中間人無法破解。

9. 如何實現https加密傳輸

1、生成證書請求文件CSR

用戶進行https證書申請的第一步就是要生成CSR證書請求文件，系統會產生2個密鑰，一個是公鑰就是這個CSR文件，另外一個是私鑰，存放在伺服器上。要生成CSR文件，站長可以參考WEB SERVER的文檔，一般APACHE等，使用OPENSSL命令行來生成KEY+CSR2個文件，Tomcat，JBoss，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS通過向導建立一個掛起的請求和一個CSR文件。

溫馨提醒：如果是在沃通申請https證書，其數字證書商店（https://buy.wosign.com）已經支持CSR文件由系統自動生成，用戶無需事先在Web伺服器上生成CSR文件。請參考：SSL證書請求文件(CSR)生成指南網頁鏈接

2、將CSR提交給CA機構認證

CA機構一般有2種認證方式：

(1)域名認證，一般通過對管理員郵箱認證的方式，這種方式認證速度快，但是簽發的證書中沒有企業的名稱，只顯示網站域名，也就是我們經常說的域名型https證書。

(2)企業文檔認證，需要提供企業的營業執照。國外https證書申請CA認證一般一小時之內，緊急時5分鍾。

同時認證以上2種方式的證書，叫EV https證書，EV https證書可以使瀏覽器地址欄變成綠色，所以認證也最嚴格。EV https證書多應用於金融、電商、證券等對信息安全保護要求較高的領域。

3、獲取https證書並安裝

在收到CA機構簽發的https證書後，將https證書部署到伺服器上，一般APACHE文件直接將KEY+CER復制到文件上，然後修改HTTPD.CONF文件;TOMCAT等需要將CA簽發的證書CER文件導入JKS文件後，復制到伺服器，然後修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導入。

10. https的工作原理和流程

HTTPS在傳輸數據之前需要客戶端（瀏覽器）與服務端（網站）之間進行一次握手，在握手過程中將確立雙方加密傳輸數據的密碼信息。TLS/SSL協議不僅僅是一套加密傳輸的協議，TLS/SSL中使用了非對稱加密，對稱加密以及HASH演算法。握手過程的簡單描述如下：

1.瀏覽器將自己支持的一套加密規則發送給網站。

2.網站從中選出一組加密演算法與HASH演算法，並將自己的身份信息以證書的形式發回給瀏覽器。證書裡麵包含了網站地址，加密公鑰，以及證書的頒發機構等信息。

3.獲得網站證書之後瀏覽器要做以下工作：

a) 驗證證書的合法性（頒發證書的機構是否合法，證書中包含的網站地址是否與正在訪問的地址一致等），如果證書受信任，則瀏覽器欄裡面會顯示一個小鎖頭，否則會給出證書不受信的提示。

b) 如果證書受信任，或者是用戶接受了不受信的證書，瀏覽器會生成一串隨機數的密碼，並用證書中提供的公鑰加密。

c) 使用約定好的HASH計算握手消息，並使用生成的隨機數對消息進行加密，最後將之前生成的所有信息發送給網站。

4.網站接收瀏覽器發來的數據之後要做以下的操作：

a) 使用自己的私鑰將信息解密取出密碼，使用密碼解密瀏覽器發來的握手消息，並驗證HASH是否與瀏覽器發來的一致。

b) 使用密碼加密一段握手消息，發送給瀏覽器。

5.瀏覽器解密並計算握手消息的HASH，如果與服務端發來的HASH一致，此時握手過程結束，之後所有的通信數據將由之前瀏覽器生成的隨機密碼並利用對稱加密演算法進行加密。

這里瀏覽器與網站互相發送加密的握手消息並驗證，目的是為了保證雙方都獲得了一致的密碼，並且可以正常的加密解密數據，為後續真正數據的傳輸做一次測試。另外，HTTPS一般使用的加密與HASH演算法如下：

非對稱加密演算法：RSA，DSA/DSS

對稱加密演算法：AES，RC4，3DES

HASH演算法：MD5，SHA1，SHA256

其中非對稱加密演算法用於在握手過程中加密生成的密碼，對稱加密演算法用於對真正傳輸的數據進行加密，而HASH演算法用於驗證數據的完整性。由於瀏覽器生成的密碼是整個數據加密的關鍵，因此在傳輸的時候使用了非對稱加密演算法對其加密。非對稱加密演算法會生成公鑰和私鑰，公鑰只能用於加密數據，因此可以隨意傳輸，而網站的私鑰用於對數據進行解密，所以網站都會非常小心的保管自己的私鑰，防止泄漏。

TLS握手過程中如果有任何錯誤，都會使加密連接斷開，從而阻止了隱私信息的傳輸。正是由於HTTPS非常的安全，攻擊者無法從中找到下手的地方，於是更多的是採用了假證書的手法來欺騙客戶端，從而獲取明文的信息，但是這些手段都可以被識別出來。