记录一篇HTTPS的文章

深入理解 HTTPS：从发展历程到技术原理与前端实践

一、HTTPS 发展历程：从安全需求到行业标准的演进

HTTPS（Hyper Text Transfer Protocol Secure）的诞生源于互联网安全通信的迫切需求。早期的 HTTP 协议以明文传输数据，存在严重的安全隐患，如数据窃听、篡改和身份伪造等问题。随着电子商务、在线支付等场景的兴起，保障数据传输安全成为亟待解决的问题。

• 1994 年：网景公司（Netscape）推出了 SSL（Secure Sockets Layer）协议，首次为 HTTP 通信提供了加密保护，这便是 HTTPS 的雏形。
• 1999 年：IETF（互联网工程任务组）将 SSL 标准化，发布了 TLS（Transport Layer Security）1.0 协议，作为 SSL 的继任者，HTTPS 开始逐步走向规范化。
• 2000 年后：TLS 协议不断迭代升级，先后发布了 TLS 1.1、TLS 1.2、TLS 1.3 等版本，安全性和性能不断提升。与此同时，各大浏览器和服务器厂商纷纷加强对 HTTPS 的支持，Google 等公司更是将 HTTPS 作为网站排名的影响因素之一，推动了 HTTPS 的广泛普及。
• 近年来：随着 Let’s Encrypt 等免费证书颁发机构的出现，以及 HTTP/2、HTTP/3 协议对 HTTPS 的默认支持，HTTPS 已成为 Web 通信的主流标准，几乎所有的现代 Web 应用都采用 HTTPS 来保障通信安全。

二、HTTPS 背后的协议协同：TCP、DNS、SSL/TLS 与 IP 的默契配合

HTTPS 的安全通信依赖于多个底层协议的协同工作，下面我们来详细解析这些协议是如何相互协作的。

（一）DNS：构建通信的 “地址簿”

DNS（Domain Name System，域名系统）的作用是将人类易读的域名解析为计算机可识别的 IP 地址，是 HTTPS 通信的第一步。

• 工作流程：当用户在浏览器中输入一个域名（如https://www.example.com）时，浏览器首先向 DNS 服务器发起查询请求，获取该域名对应的 IP 地址。DNS 服务器通过递归或迭代查询，最终返回该域名的 IP 地址（如192.168.1.1）。
• 与 HTTPS 的关联：DNS 查询本身是明文传输的，存在被劫持的风险。为了保障 DNS 解析的安全，近年来出现了 DNS over HTTPS（DoH）和 DNS over TLS（DoT）等技术，通过 HTTPS 或 TLS 协议对 DNS 查询进行加密，防止 DNS 欺骗和劫持，为 HTTPS 通信奠定安全的基础。

（二）IP 与 TCP：搭建通信的 “高速公路”

IP（Internet Protocol，网际协议）和 TCP（Transmission Control Protocol，传输控制协议）是互联网的基础协议，负责数据的传输和路由。

• IP 协议：作为网络层协议，IP 协议为网络中的设备分配唯一的 IP 地址，并负责将数据报从源地址路由到目的地址。在 HTTPS 通信中，客户端和服务器通过 IP 地址确定彼此的网络位置，建立通信连接。
• TCP 协议：作为传输层协议，TCP 协议提供可靠的面向连接的字节流传输服务。在 HTTPS 通信中，TCP 协议通过三次握手建立连接，确保数据传输的可靠性和顺序性。HTTPS 基于 TCP 协议提供的可靠连接，在应用层进行安全数据传输。

（三）SSL/TLS：筑牢通信的 “安全壁垒”

SSL/TLS 协议是 HTTPS 的核心，位于传输层（TCP）和应用层（HTTP）之间，负责对数据进行加密、解密和身份验证，确保通信的安全性和完整性。

• SSL/TLS 的工作流程：
  1、握手阶段：客户端和服务器通过交换握手消息，协商加密算法、生成会话密钥，并进行身份验证（服务器通常需要向客户端发送数字证书，客户端验证服务器证书的有效性）。
  2、数据传输阶段：握手完成后，客户端和服务器使用协商好的加密算法和会话密钥对数据进行加密传输，确保数据在传输过程中不被窃取和篡改。
• 与 TCP 的协同：SSL/TLS 协议建立在 TCP 连接之上，利用 TCP 提供的可靠传输服务，确保握手消息和加密数据的可靠传输。在 TCP 连接建立后，SSL/TLS 握手过程开始，完成安全通信的准备工作，然后 HTTP 数据通过 SSL/TLS 层进行加密传输。

（四）协议协同总结

HTTPS 通信的完整流程可以概括为：用户输入域名 → DNS 解析获取 IP 地址 → 通过 TCP 协议建立连接 → 使用 SSL/TLS 协议进行握手和数据加密 → 通过 HTTP 协议传输加密后的数据。在这个过程中，DNS 负责定位通信目标，IP 和 TCP 负责搭建通信通道，SSL/TLS 负责保障通信安全，各个协议各司其职、协同工作，共同构建了安全可靠的 HTTPS 通信体系。

三、HTTPS 双向通信原理：客户端与服务器的安全对话

HTTPS 的双向通信是指客户端和服务器之间相互进行身份验证和数据加密传输，确保通信的双方都是可信的，并且数据在传输过程中是安全的。下面我们从双向身份验证和数据加密传输两个方面来解析其原理。

（一）双向身份验证：确保通信双方的合法性

在传统的 HTTPS 通信中，通常只要求服务器向客户端提供数字证书进行身份验证（单向验证），以确保客户端连接的是可信的服务器。而在一些对安全性要求更高的场景（如金融交易、企业内部系统等），需要进行双向身份验证，即客户端和服务器相互验证对方的身份。

• 服务器身份验证（单向验证）：
  – 服务器拥有由 CA（Certificate Authority，证书颁发机构）签发的数字证书，其中包含服务器的公钥、域名、有效期等信息。
  – 客户端在握手阶段收到服务器的证书后，使用 CA 的根证书（通常预装在浏览器或操作系统中）验证证书的签名是否有效，以确认服务器的身份。
• 双向身份验证：
  • 在服务器验证客户端身份的场景中，客户端也需要向服务器提供数字证书。
  • 服务器在握手阶段向客户端请求证书，客户端将自己的证书发送给服务器。
  • 服务器使用客户端证书的公钥或通过信任的 CA 来验证客户端证书的有效性，从而确认客户端的身份。

（二）数据加密传输：对称加密与非对称加密的巧妙结合

HTTPS 采用对称加密和非对称加密相结合的方式对数据进行加密传输，以兼顾安全性和效率。

• 非对称加密（公钥加密，私钥解密）：
  • 在握手阶段，服务器向客户端发送自己的公钥（包含在证书中）。
  • 客户端生成一个随机的会话密钥（用于对称加密），使用服务器的公钥对会话密钥进行加密，并发送给服务器。
  • 服务器使用自己的私钥解密，获取会话密钥。
• 对称加密（同一密钥加密和解密）：
  • 在数据传输阶段，客户端和服务器使用协商好的会话密钥对数据进行对称加密传输。
  • 对称加密的效率较高，适合大量数据的加密传输，而非对称加密则用于安全地传输会话密钥，确保会话密钥的机密性。

（三）双向通信总结

HTTPS 的双向通信通过身份验证确保了通信双方的合法性，通过加密技术保障了数据的机密性和完整性。无论是单向验证还是双向验证，都是通过数字证书和公钥基础设施（PKI）来实现的。在数据传输过程中，非对称加密和对称加密的结合使用，既保证了安全性，又提高了通信效率，使得 HTTPS 能够在各种场景下安全可靠地传输数据。

四、HTTPS 在 Web 前端开发中的重要性：安全与性能的双重保障

在 Web 前端实际工作中，HTTPS 扮演着至关重要的角色，它不仅是保障用户数据安全的基石，还对前端性能和开发体验有着重要的影响。

（一）数据安全：防止信息泄露和篡改

• 保护用户隐私：在前端与后端进行交互时，用户的登录凭证、个人信息、交易数据等敏感信息通过 HTTPS 加密传输，防止黑客通过中间人攻击（MITM）窃取数据。例如，在用户登录场景中，如果使用 HTTP 传输密码，密码可能会被嗅探工具捕获，而使用 HTTPS 则可以确保密码在传输过程中是加密的，大大降低了数据泄露的风险。
• 防止数据篡改：HTTPS 通过数字签名和完整性校验机制，确保数据在传输过程中不被篡改。例如，前端向服务器提交表单数据时，HTTPS 可以保证服务器接收到的数据与前端发送的数据一致，防止攻击者在传输过程中篡改数据内容（如修改订单金额、用户权限等）。

（二）浏览器特性支持：开启更多安全功能

现代浏览器为 HTTPS 站点提供了许多独特的安全特性和功能支持，这些功能在 HTTP 环境下可能无法使用或受到限制。

• 安全上下文（Secure Context）：HTTPS 是浏览器安全上下文的要求之一，只有在 HTTPS 站点中，才能使用一些高级的 Web API，如：
  • Service Worker：可以在后台运行脚本，实现离线缓存、消息推送等功能，提升用户体验。
  • Payment Request API：用于简化在线支付流程，保障支付信息的安全传输。
  • 麦克风和摄像头访问：在浏览器中使用getUserMedia API 访问用户的麦克风和摄像头时，部分浏览器要求必须在 HTTPS 环境下进行，以防止中间人攻击获取用户的音视频数据。
• 混合内容限制：当 HTTPS 页面中包含 HTTP 资源（如图片、脚本、样式表等）时，浏览器会将其视为 “混合内容”，并根据内容的类型和风险程度进行限制。例如，对于 “主动混合内容”（如 HTTP 脚本），浏览器可能会阻止其加载，以防止潜在的安全风险。这就要求前端开发者在开发过程中，确保页面中的所有资源都通过 HTTPS 加载，避免出现混合内容问题。

（三）性能优化：HTTP/2 与 HTTPS 的深度整合

HTTPS 与 HTTP/2 协议深度整合，为前端性能优化提供了新的途径。

• 多路复用：HTTP/2 通过多路复用技术，允许在一个 TCP 连接上同时传输多个请求和响应，避免了 HTTP/1.1 中因浏览器对同一域名的连接数限制而导致的性能瓶颈。而 HTTP/2 协议默认要求运行在 HTTPS 之上，这意味着使用 HTTPS 不仅可以保障安全，还可以享受 HTTP/2 带来的性能提升。
• 头部压缩：HTTP/2 使用 HPACK 算法对请求和响应的头部进行压缩，减少了头部数据的传输量，提高了传输效率。同样，这一特性需要在 HTTPS 环境下才能充分发挥作用。

（四）搜索引擎优化（SEO）：提升网站排名

搜索引擎（如 Google、Bing 等）将 HTTPS 作为网站排名的一个重要因素。使用 HTTPS 的网站在搜索结果中的排名可能会更靠前，这对于提升网站的流量和曝光度具有积极的作用。因此，前端开发者在开发过程中，应积极配合后端团队部署 HTTPS，以提高网站的搜索引擎友好性。

（五）开发调试与兼容性：现代开发的必备条件

随着 Web 开发技术的不断发展，许多新的开发工具和调试功能都依赖于 HTTPS 环境。例如：

• Chrome DevTools：在 HTTPS 站点中，可以更方便地使用调试工具对网络请求、安全证书等进行分析和调试。
• 跨域资源共享（CORS）：在某些场景下，浏览器对 HTTPS 站点之间的跨域请求可能会有更宽松的策略，而对 HTTP 站点的跨域请求限制更严格。因此，使用 HTTPS 可以减少跨域问题带来的开发阻力。

五、总结：HTTPS——Web 安全的基石

从发展历程来看，HTTPS 从最初的安全补充逐渐成为 Web 通信的标准配置，这背后是互联网安全需求的不断升级和技术的持续演进。在技术原理上，HTTPS 通过 DNS、IP、TCP、SSL/TLS 等协议的协同工作，构建了安全可靠的通信链路，其双向通信原理通过身份验证和加密技术，确保了通信双方的可信性和数据的安全性。
在 Web 前端实际工作中，HTTPS 不仅是保护用户数据的 “盾牌”，更是开启现代 Web 特性、优化性能、提升 SEO 的关键因素。随着互联网安全要求的不断提高，HTTPS 已成为前端开发中不可忽视的重要环节。作为前端开发者，我们应深入理解 HTTPS 的原理和重要性，在项目中积极采用 HTTPS，为用户提供更安全、更可靠、更优质的 Web 体验。