HTTP遇到的安全问题&&HTTPS解决的问题

（1）http，我们传输的数据都是明文，在网上“果奔”，那你的敏感信息怎么办，我们选择加密，于是乎，https便包含数据加密；

（2）我们选择将数据加密，然后对方用指定的key去解密，那么key怎么告诉别人，明文传输？不行吧，这样等于“果奔”，面对面？对于互联网，你觉得可能吗！？

（3）好，加解密要不同的key，那我选择非对称加密，这样安全了吧！对于数据交换非常频繁，或者交换的数据量比较大的网站，效率又不行，非对称加解密的效率明显不如对称算法，怎么办？怎么办？

（4）对称和非对称结合起来，用对称算法加解密数据，用非对称算法加解密对称算法的key，兼顾了安全和效率，心终于踏实了，数据安全了。真的安全了吗？

（5）数据是在网上传输的，网上传输的不一定是点对点，你“不知道”在数据到手之前经过了你的数据是第几手的，你的数据从一个路由器到另一个路由器，一步一步的转，然后才到你的手里的，你能确保中间没有被“好心人”篡改！？比如你要访问支付宝，你的浏览器会询问你确定你就是支付宝，于是支付宝亮明ta的身份证（证书）证明我就是我（不一样的焰火），那么支付宝的身份证（证书）是谁发的，不可能自己给自己办身份证吧，一定是第三方一个非常权威，非常靠谱的机构（或者个人）颁发的，浏览器觉得你有这家机构颁发的证书，那么你是靠谱的，你就是你了。

补充：一旦某个 CA 颁发的证书被用于的非法途径，那么这个 CA 之前颁发过的所有证书都将被视为不安全的，这让所有 CA 在颁发证书时都十分小心，所以 CA 证书在通常情况下是值得信任的。

总结：使 HTTP 后面增加一个S（Security）的技术，正是对称加密 + 非对称加密key + CA 认证 这三种技术的混合体。当然这个主要是 HTTPS 的基本原理，真正实际中的 HTTPS 的协议是比以上的描述更为复杂一些的，并且其中任何一步稍有闪失，整个流程都将不再安全。这也是为什么
HTTPS 协议从 SSL 1.0升级到 SSL 3.0，再被 TLS 1.0 现在被 TLS 1.3取代，其背后都是一个个细节上的优化，以防有任何闪失。TLS 协议相比 SSL 协议增加了传输层的安全保证。