从《孤注一掷》出发，聊聊 SSL 证书的重要性

你去看《孤注一掷》了吗？相信最近大家的朋友圈和抖音都被爆火电影《孤注一掷》成功刷屏。取材于上万真实案例的《孤注一掷》揭露了缅甸诈骗园区残暴的统治，以及电信诈骗中系统性极强的诈骗技巧，引发了大量讨论。

图片来源于电影《孤注一掷》

这部电影除了让人后背发凉外，也不禁让人回忆起了曾经上网冲浪遇到的种种现象：看小说时性感荷官总在网页右下角在线发牌；看电影时网页左下角常常蹦出“在线老虎机”……这些让人烦不胜烦的广告弹窗之所以出现，要么是建站人员利欲熏心投放了非法广告，要么就是因为网站使用了不安全的 HTTP 协议而遭到了攻击，正常的网页内容被恶意篡改。

网站是电信诈骗、网络赌博等非法内容出现的重灾区，建站者和使用者都应该提高安全意识，特别是对建站者来说，保护通信安全才能更好的承担起建站责任。本文将从 HTTP 讲起，介绍 HTTPS 保护通信安全的原理，以及作为网络通信安全基石的 SSL 证书的重要性。

HTTP 协议

HTTP（Hyper Text Transfer Protocol）协议是超文本传输协议。它是从 WEB 服务器传输超文本标记语言（HTML）到本地浏览器的传送协议。HTTP 基于 TCP/IP 通信协议来传递数据，通信双方在 TCP 握手后即可开始互相传输 HTTP 数据包。具体过程如下图所示：

HTTP 建立流程

HTTP 协议中，请求和响应均以明文传输。如下图所示，在访问一个使用 HTTP 协议的网站时，通过抓包软件可以看到网站 HTTP 响应包中的完整 HTML 内容。

虽然 HTTP 明文传输的机制在性能上带来了优势，但同时也引入了安全问题：

缺少数据机密性保护。HTTP 数据包内容以明文传输，攻击者可以轻松窃取会话内容。
缺少数据完整性校验。通信内容以明文传输，数据内容可被攻击者轻易篡改，且双方缺少校验手段。
缺少身份验证环节。攻击者可冒充通信对象，拦截真实的 HTTP 会话。

HTTP 劫持

作为划时代的互联网通信标准之一，HTTP 协议的出现为互联网的普及做出了不可磨灭的贡献。但正如上节谈到， HTTP 协议因为缺少加密、身份验证的过程导致很可能被恶意攻击，针对 HTTP 协议最常见的攻击就是 HTTP 劫持。

HTTP 劫持是一种典型的中间人攻击。HTTP 劫持是在使用者与其目的网络服务所建立的数据通道中，监视特定数据信息，当满足设定的条件时，就会在正常的数据流中插入精心设计的网络数据报文，目的是让用户端程序解析“错误”的数据，并以弹出新窗口的形式在使用者界面展示宣传性广告或直接显示某网站的内容。

下图是一种典型的 HTTP 劫持的流程。当客户端给服务端发送 HTTP 请求，图中发送请求为“梁安娜的电话号码是？”，恶意节点监听到该请求后将其放行给服务端，服务端返回正常 HTML 响应，关键返回内容本应该是“+86 130****1234”，恶意节点监听到该响应，并将关键返回内容篡改为泰国区电话“+66 6160 **88”，导致用户端程序展示出错误信息，这就是 HTTP 劫持的全流程。

HTTP 劫持流程

例如，在某网站阅读某网络小说时，由于该网站使用了不安全的 HTTP 协议，攻击者可以篡改 HTTP 相应的内容，使网页上出现与原响应内容无关的广告，引导用户点击，可能将跳转进入网络诈骗或其他非法内容的页面。

原网页

HTTP 劫持后网页

HTTPS 工作原理

HTTPS 协议的提出正是为了解决 HTTP 带来的安全问题。HTTPS 协议（HyperText Transfer Protocol Secure，超文本传输安全协议），是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信，但利用 SSL/TLS 来加密数据包。HTTPS 的开发主要是提供对网站服务器的身份认证，保护交换资料的隐私性与完整性。

TLS 握手是 HTTPS 工作原理的安全基础部分。TLS 传统的 RSA 握手流程如下所示：

TLS 握手流程

TLS 握手流程主要可以分为以下四个部分：

第一次握手：客户端发送 Client Hello 消息。该消息包含：客户端支持的 SSL/TLS 协议版本（如 TLS v1.2 ）；用于后续生成会话密钥的客户端随机数 random_1；客户端支持的密码套件列表。

第二次握手：服务端收到 Client Hello 消息后，保存随机数 random_1，生成随机数 random_2，并发送以下消息。

发送 Server Hello 消息。该消息包含：服务端确认的 SSL/TLS 协议版本（如果双方支持的版本不同，则关闭加密通信）；用于后续生成会话密钥的服务端随机数 random_2；服务端确认使用的密码套件
发送“Server Certificate”消息。该消息包含：服务端的 SSL 证书。SSL 证书又包含服务端的公钥、身份等信息。
发送“Server Hello Done”消息。该消息表明 ServerHello 及其相关消息的结束。发送这个消息之后，服务端将会等待客户端发过来的响应。

第三次握手：客户端收到服务端证书后，首先验证服务端证书的正确性，校验服务端身份。若证书合法，客户端生成预主密钥，之后客户端根据（random_1， random_2，预主密钥）生成会话密钥，并发送以下消息。

发送“Client Key Exchange”消息，该消息为客户端生成的预主密钥，预主密钥会被服务端证书中的公钥加密后发送。
发送“Change Cipher Spec”消息，表示之后数据都将用会话密钥进行加密。
发送“Encrypted Handshake Message”消息，表示客户端的握手阶段已经结束。客户端会生成所有握手报文数据的摘要，并用会话密钥加密后发送给服务端，供服务端校验。

第四次握手：服务端收到客户端的消息后，利用自己的服务端证书私钥解密出预主密钥，并根据（random_1， random_2，预主密钥）计算出会话密钥，之后发送以下消息。

发送“Change Cipher Spec”消息，表示之后数据都将用会话密钥进行加密。
发送“Encrypted Handshake Message”，表示服务端的握手阶段已经结束，同时服务端会生成所有握手报文数据的摘要，并用会话密钥加密后发送给客户端，供客户端校验。

根据 TLS 握手流程，可以看出它是如何解决 HTTP 协议缺陷，以及避免中间人攻击的：

规避窃听风险，攻击者无法获知通信内容

在客户端进行真正的 HTTPS 请求前，客户端与服务端都已经拥有了本次会话中用于加密的对称密钥，后续双方 HTTPS 会话中的内容均用该对称密钥加密，攻击者在无法获得该对称密钥的情况下，无法解密获得会话中内容的明文。即使攻击者获得了 TLS 握手中双方发送的所有明文信息，也无法从这些信息中恢复对称密钥，这是由大数质因子分解难题和有限域上的离散对数难题保证的。

规避篡改风险，攻击者无法篡改通信内容

在数据通信阶段，双端消息发送时会对原始消息做一次哈希，得到该消息的摘要后，与加密内容一起发送。对端接受到消息后，使用协商出来的对称加密密钥解密数据包，得到原始消息；接着也做一次相同的哈希算法得到摘要，对比发送过来的消息摘要和计算出的消息摘要是否一致，可以判断通信数据是否被篡改。

规避冒充风险，攻击者无法冒充身份参与通信

在 TLS 握手流程中的第二步“Server Hello”中，服务端将自己的服务端证书交付给客户端。客户端拿到 SSL 证书后，会对服务端证书进行一系列校验。以浏览器为例，校验服务端证书的过程为：

验证证书绑定域名与当前域名是否匹配。
验证证书是否过期，是否被吊销。
查找操作系统中已内置的受信任的证书发布机构 CA（操作系统会内置有限数量的可信 CA），与服务端证书中的颁发者 CA 比对，验证证书是否为合法机构颁发。如果服务端证书不是授信 CA 颁发的证书，则浏览器会提示服务端证书不可信。
验证服务端证书的完整性，客户端在授信 CA 列表中找到服务端证书的上级证书，后使用授信上级证书的公钥验证服务端证书中的签名哈希值。
在确认服务端证书是由国际授信 CA 签发，且完整性未被破坏后，客户端信任服务端证书，也就确认了服务端的正确身份。

SSL 证书

正如上一节介绍，SSL 证书在 HTTPS 协议中扮演着至关重要的作用，即验证服务端身份，协助对称密钥协商。只有配置了 SSL 证书的网站才可以开启 HTTPS 协议。在浏览器中，使用 HTTP 的网站会被默认标记为“不安全”，而开启 HTTPS 的网站会显示表示安全的锁图标。

使用 HTTP 协议的网站

使用 HTTPS 协议的网站

从保护范围、验证强度和适用类型出发， SSL 证书会被分成不同的类型。只有了解类型之间的区别，才能根据实际情况选择更适合的证书类型，保障通信传输安全。

从保护范围分，SSL 证书可以分为单域名证书、通配符证书、多域名证书。

单域名证书：单域名证书只保护一个域名，这些域名形如 www.test.com 等。
通配符证书：通配符证书可以保护基本域和无限的子域。通配符 SSL 证书的公用名中带有星号 *，其中，星号表示具有相同基本域的任何有效子域。例如，*。test.com 的通配符证书可用于保护 a.test.com、 b.test.com……
多域名证书：多域证书可用于保护多个域或子域。包括完全唯一的域和具有不同顶级域的子域（本地/内部域除外）的组合。

从验证强度和适用类型进一步区分，SSL 证书可以分为 DV、OV、EV 证书。

DV（Domain Validated）：域名验证型。在颁发该类型证书时，CA 机构仅验证申请者对域名的所有权。CA 机构会通过检查 WHOIS、DNS 的特定记录来确认资格。一般来说，DV 证书适用于博客、个人网站等不需要任何私密信息的网站。
OV（Organization Validated）：组织验证型。OV 证书的颁发除了要验证域名所有权外，CA 还会额外验证申请企业的详细信息（名称、类型、地址）等。一般来说，OV 证书适用于中级商业组织。
EV（Extended Validation）：扩展验证型。EV 证书的颁发除了 CA 对 DV 和 OV 证书所采取的所有身份验证步骤之外，还需要审查商业组织是否在真实运营、其实际地址，并致电以验证申请者的就业情况。一般来说，EV 证书适用于顶级商业组织。