Linux网络http与https

应用层协议HTTP

提示
因为现在大多数都是https，所以就用https来介绍http，https比http多了一个加密功能，不影响介绍http。

什么是http

虽然我们说, 应用层协议是我们程序猿自己定的. 但实际上, 已经有大佬们定义了一些现成的, 又非常好用的应用层协议, 供我们直接参考使用. HTTP(超文本传输协议)就是其中之一。
在互联网世界中，HTTP（HyperText Transfer Protocol，超文本传输协议）是一个至关重要的协议。它定义了客户端（如浏览器）与服务器之间如何通信，以交换或传输超文本（如 HTML 文档）。
HTTP 协议是客户端与服务器之间通信的基础。客户端通过 HTTP 协议向服务器发送请求，服务器收到请求后处理并返回响应。HTTP 协议是一个无连接、无状态的协议，即每次请求都需要建立新的连接，且服务器不会保存客户端的状态信息。

域名

打开浏览器页面，我的默认搜索是百度。
红圈部分是网址，复制粘贴之后，我们无论打开哪个网页，在这个栏目当当中输入https://www.baidu.com/就可以跳转到百度搜索的首页。
这个网址是如何做到这种功能的呢？
网址——>域名——>域名解析——>IP地址

这是因为有域名解析这个功能，将网址转换成ip地址。
Windows打开命令窗口：


这里得到一个ip地址，我们输入到浏览器一下：

也就是说，每个域名都是ip地址，访问每个域名都是通过ip地址。

URL

在百度当中搜索
https://www.helloworld.net/p/4442555963
这一串我们简称为URL，也叫做：统一资源定位符。（网上所有的资源都可以用唯一的一个“字符串”标识获取）

网络行为
目前我们最常用的网络行为就是把别人的东西拿出来，把自己的东西传上去，我们访问的服务器可以理解为同时连接一台电脑，我们进入这台电脑获取数据或者是上传数据。
url就是搜索目录的存在。

urlencode 和 urldecode

像 / ? : 等这样的字符, 已经被 url 当做特殊意义理解了. 因此这些字符不能随意出现. 比如, 某个参数中需要带有这些特殊字符, 就必须先对特殊字符进行转义。
搜索hello world
https://www.baidu.com/s?tn=15007414_15_dg&ie=utf-8&wd=hello%20world
搜索aaaa+??//: /&bbbb
https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=15007414_15_dg&wd=aaaa%2B%3F%3F%2F%2F%3A%2F%26bbbb&oq=hello%2520world&rsv_pq=eb10b3d000010b64&rsv_t=aa46E6F5%2BL6oqrBlcwAIRYoHHt%2FkY40E5WdjW0FikHG%2B0Wo9hEJLKyWNfAMEq%2BhRJ5K2Pas&rqlang=cn&rsv_dl=tb&rsv_enter=1&rsv_sug3=18&rsv_sug1=15&rsv_sug7=100&rsv_sug2=0&rsv_btype=t&inputT=18981&rsv_sug4=18981

这里变成了这个样子，说明如果搜索的内容需要这些特殊字符，那么在输入的过程中就会进行转译。
（要求BS双方进行编码和解码）
转义的规则如下:

将需要转码的字符转为 16 进制，然后从右到左，取 4 位(不足 4 位直接处理)，每 2 位
做一位，前面加上%，编码成%XY 格式

HTTP 常见 Header

Connection:keep-alive 保持长连接
Content-Type: 数据类型(text/html 等)
Content-Length: Body 的长度
Host: 客户端告知服务器, 所请求的资源是在哪个主机的哪个端口上;
User-Agent: 声明用户的操作系统和浏览器版本信息;
referer: 当前页面是从哪个页面跳转过来的;
Location: 搭配 3xx 状态码使用, 告诉客户端接下来要去哪里访问;
Cookie: 用于在客户端存储少量信息. 通常用于实现会话(session)的功能;

http请求与响应

http从客户端发到服务器，是怎么发送和接收的呢？
是客户端请求，服务器响应。
请求的结构体：

这里的\r\n可以看作一种特殊字符，所有的请求内容都是连在一起的，只不过由\r\n隔离起来了而已。

这是请求的格式。
请求行：
Method是GET/POST，也就是获取与传输。（我们百分之95都是再用这两种命令）

假设要在网站中输入账号和密码，使用GET，就是通过URL提交的参数。（以问好作为分隔符，右侧是要提交的参数）
注意：参数数量受限，不私秘，会在URL当中体现。
如果用的是POST，那么参数会放在请求正文当中提交。

HTTP Version是http的版本。（1.0，1.1（用的多），2.0）
报头：
里面都是KV属性结构。（里面含有正文长度等等的属性，后面会详细说明）

那么报头的最后一行也是\r\n，怎么才能分辨报头与正文呢？
答案就是，在报头后面加上一个空行。

同理，请求就要有响应，响应也有自己的结构体：

Linux输入

telnet www.baidu.com 80
GET / HTTP/1.1
然后按两下回车（因为有空行）

这里就是报头，报头下面的其他东西就是网页了。

首先说一下HTTP Version，请求客户端发送给服务器的时候，客户端是什么http版本，服务器就会响应什么http版本。

那么状态码是什么呢？
平时我们访问某个网页，突然蹦出来404，说帖子被删除或者是网页不见了，404就是状态码，后面说的话就是状态码描述符。（字符串版本的描述）

	类别	原因短语
1XX	Informational(信息性状态码)	接收的请求正在处理
2XX	Success(成功状态码)	请求正常处理完毕
3XX	Redirection(重定向状态码)	需要进行附加操作以完成请求
4XX	Client Error(客户端错误状态码)	服务器无法处理请求
5XX	Server Error(服务器错误状态码)	服务器处理请求出错

重定向：分为临时和永久。
临时：例如登录页面会跳转到微信或者是QQ，登录完毕之后就会跳转回去。
永久：例如某个域名不用了，公司创建了个新的域名，但是又需要照顾不知道新域名的老用户，所以就会在旧网站提示当前域名不再使用，将要跳转到新网站。（服务器给浏览器发报文，报头当中的Location会指导浏览器应该去访问新的网站）

（现在可以安装一个抓包软件来进行测试了，推荐Fiddler 或者 Postman）
抓包软件是如何工作的呢？
是客户端将http的请求发给Fiddler，Fiddler再发给服务器，相当于Fiddler是一个代理。

简单实现一个httpserver

预备知识

ssize_t recv(int sockfd, void *buf, size_t len, int flags);
第一个参数是读取哪个套接字
第二个参数是读取到哪里
第三个参数是读取的长度
第四个参数是读取的方式

ssize_t send(int sockfd, const void *buf, size_t len, int flags);
第四个参数是写入方式

一个巨大的网页会包含非常多的元素，比如打开淘宝京东，琳琅满目的商品，标注的价格，推荐物品，图片，各种其他功能。——每一个元素都是资源，打开首页又很多图片，其实看到的每一张图片都是浏览器发送的访问请求，然后服务器给响应，通过渲染等等手段显示给浏览器。

一次请求响应一个资源，关闭连接——短连接。（http1.0）
客户端通过TCP与服务器建立链接，发送多个请求返回多个响应，在没有完成这些请求和响应之前不会关闭。——长连接（http1.1）

在网页当中插入图片，是需要知道ContentType。（http内容类型）

我们在访问B站的时候，会提示让我们去登录账号密码，登录之后，未来的几天再次进入B站就不用再去登录了，这是为什么呢？
首先明白一点，HTTP协议默认是无状态的，这意味着服务器不会主动记录或保留客户端（如浏览器）的请求历史信息。每个HTTP请求都是独立的，服务器处理完一个请求后，不会“记住”这个客户端的状态，下一次请求时服务器会将其视为全新的请求。
因为http对登录用户有会话保持功能。
原理version：（文件级）

这里就算是关闭浏览器再打开也可以进去，因为信息被保存在文件里。


Cookie是会自动消除的。

内存级如果关闭浏览器，再次打开B站就不会自动登录了。

可如果黑客窃取了cookie文件，就会造成巨大损失。（账号密码被盗，个人隐私泄露）
解决方案：

也就是说，就算黑客拿到了cookie也是ID，如果在自己的机器登录会被B站检测到，因为B站的session文件中有登录信息，如果IP不同就会让黑客登录账号与密码。（一定程度上避免了信息泄露）

代码实现

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><!-- <form action="/a/b/hello.html" method="post">name: <input type="text" name="name"><br>password: <input type="password" name="passwd"><br><input type="submit" value="提交"></form> --><h1>这个是我们的首页</h1><!-- <img src="/image/1.png" alt="这是一直猫" width="100" height="100"> 根据src向我们的服务器浏览器自动发起二次请求 --><!-- <img src="/image/2.jpg" alt="这是花"> -->
</body>
</html>

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><h1>这是第二张网页</h1><h1>这是第二张网页</h1><h1>这是第二张网页</h1><h1>这是第二张网页</h1><h1>这是第二张网页</h1><h1>这是第二张网页</h1><h1>这是第二张网页</h1><a href="http://120.78.126.148:8899">回到首页</a><a href="http://120.78.126.148:8899/x/y/world.html">到第三张网页</a>
</body>
</html>

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><h1>这是第3张网页</h1><h1>这是第3张网页</h1><h1>这是第3张网页</h1><h1>这是第3张网页</h1><h1>这是第3张网页</h1><h1>这是第3张网页</h1><a href="http://120.78.126.148:8899">回到首页</a><a href="http://120.78.126.148:8899/a/b/hello.html">到第二张网页</a>
</body>
</html>

#pragma once#include <iostream>
#include <time.h>
#include <stdarg.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>#define SIZE 1024#define Info 0
#define Debug 1
#define Warning 2
#define Error 3
#define Fatal 4#define Screen 1
#define Onefile 2
#define Classfile 3#define LogFile "log.txt"class Log
{
public:Log(){printMethod = Screen;path = "./log/";}void Enable(int method){printMethod = method;}std::string levelToString(int level){switch (level){case Info:return "Info";case Debug:return "Debug";case Warning:return "Warning";case Error:return "Error";case Fatal:return "Fatal";default:return "None";}}void printLog(int level, const std::string &logtxt){switch (printMethod){case Screen:std::cout << logtxt << std::endl;break;case Onefile:printOneFile(LogFile, logtxt);break;case Classfile:printClassFile(level, logtxt);break;default:break;}}void printOneFile(const std::string &logname, const std::string &logtxt){std::string _logname = path + logname;int fd = open(_logname.c_str(), O_WRONLY | O_CREAT | O_APPEND, 0666); // "log.txt"if (fd < 0)return;write(fd, logtxt.c_str(), logtxt.size());close(fd);}void printClassFile(int level, const std::string &logtxt){std::string filename = LogFile;filename += ".";filename += levelToString(level); // "log.txt.Debug/Warning/Fatal"printOneFile(filename, logtxt);}~Log(){}void operator()(int level, const char *format, ...){time_t t = time(nullptr);struct tm *ctime = localtime(&t);char leftbuffer[SIZE];snprintf(leftbuffer, sizeof(leftbuffer), "[%s][%d-%d-%d %d:%d:%d]", levelToString(level).c_str(),ctime->tm_year + 1900, ctime->tm_mon + 1, ctime->tm_mday,ctime->tm_hour, ctime->tm_min, ctime->tm_sec);va_list s;va_start(s, format);char rightbuffer[SIZE];vsnprintf(rightbuffer, sizeof(rightbuffer), format, s);va_end(s);// 格式：默认部分+自定义部分char logtxt[SIZE * 2];snprintf(logtxt, sizeof(logtxt), "%s %s", leftbuffer, rightbuffer);// printf("%s", logtxt); // 暂时打印printLog(level, logtxt);}private:int printMethod;std::string path;
};
Log lg;

#pragma once#include <iostream>
#include <memory>
#include <string>
#include <pthread.h>
#include <fstream>
#include <vector>
#include <sstream>
#include <sys/types.h>
#include <sys/socket.h>
#include <unordered_map>
#include "log.hpp"
#include "Socket.hpp"
using namespace std;
const string wwwroot="./wwwroot"; // web 根目录,在当前文件下的文件夹，里面存放的就是网页里的所有内容
const string sep = "\r\n";
const string homepage = "index.html";
static const int defaultport = 8080;
class HttpServer;
class ThreadData
{
public:ThreadData(int fd, HttpServer *s) : sockfd(fd), svr(s){}ThreadData(){}
public:int sockfd;HttpServer *svr;
};
class HttpRequest
{
public:void Deserialize(string req)//序列化{while(true){size_t pos = req.find(sep);if(pos == string::npos) break;string temp = req.substr(0, pos);if(temp.empty()) break;req_header.push_back(temp);req.erase(0, pos+sep.size());}text = req;}void Parse(){stringstream ss(req_header[0]);ss >> method >> url >> http_version;file_path = wwwroot; // ./wwwrootif(url == "/" || url == "/index.html")//条件满足判断为要访问首页{file_path += "/";file_path += homepage; // ./wwwroot/index.html}else file_path += url;// /a/b/c/d.html->./wwwroot/a/b/c/d.html，无论有多少个参数，都要从wwwroot的web根目录开始查询访问auto pos = file_path.rfind(".");if(pos == string::npos) suffix = ".html";//没找到后缀默认为是.htmlelse suffix = file_path.substr(pos);}void DebugPrint(){for(auto &line : req_header){cout << "--------------------------------" << endl;cout << line << "\n\n";}cout << "method: " << method << endl;cout << "url: " << url << endl;cout << "http_version: " << http_version << endl;cout << "file_path: " << file_path << endl;cout << text << endl;}
public:vector<string> req_header;//请求报头string text;//正文部分// 解析之后的结果string method;string url;string http_version;string file_path; // ./wwwroot/a/b/c.html 2.png文件类型string suffix;//文件后缀
};
class HttpServer
{
public:HttpServer(uint16_t port = defaultport):port_(port){content_type.insert({".html", "text/html"});content_type.insert({".png", "image/png"});}bool Start(){listensock_.Socket();listensock_.Bind(port_);listensock_.Listen();for (;;){string clientip;uint16_t clientport;int sockfd = listensock_.Accept(&clientip, &clientport);if (sockfd < 0)continue;lg(Info, "get a new connect, sockfd: %d", sockfd);pthread_t tid;ThreadData *td = new ThreadData(sockfd, this);pthread_create(&tid, nullptr, ThreadRun, td);}}static string ReadHtmlContent(const string &htmlpath)//http的本质就是读到固定格式的字符串进行分析在分拣中搜索资源,然后在响应回去{ifstream in(htmlpath, ios::binary);//要以二进制的方式去读，因为图片是按照二进制的方式存储的，不然图片会读取失败if(!in.is_open()) return "";in.seekg(0, ios_base::end);auto len = in.tellg();//文件大小in.seekg(0, ios_base::beg);string content;content.resize(len);in.read((char*)content.c_str(), content.size());in.close();return content;}string SuffixToDesc(const std::string &suffix){auto iter = content_type.find(suffix);if(iter == content_type.end()) return content_type[".html"];//没找到返回类型默认是.htmlelse return content_type[suffix];}void HandlerHttp(int sockfd){char buffer[10240];ssize_t n = recv(sockfd, buffer, sizeof(buffer) - 1, 0);if (n > 0){buffer[n] = 0;cout << buffer << endl; // 假设我们读取到的就是一个完整的，独立的http 请求//响应部分，网页的内容会被拼接到响应正文当中。//特定部分情况下，访问某个服务器URL就不会计算ip地址与端口号，所以剩下的部分就是RUL。//用户请求的时候，会在RUL当中包含请求的页面，什么样的资源，根据路径来寻找相应的资源HttpRequest req;req.Deserialize(buffer);req.Parse();//返回响应过程string text;bool ok = true;text = ReadHtmlContent(req.file_path); if(text.empty())//如果失败就返回404{ok = false;string err_html = wwwroot;err_html += "/";err_html += "err.html";text = ReadHtmlContent(err_html);}string response_line;if(ok)response_line = "HTTP/1.0 200 OK\r\n";elseresponse_line = "HTTP/1.0 404 Not Found\r\n";string response_header = "Content-Length: ";response_header += to_string(text.size()); // Content-Length: 11response_header += "\r\n";response_header += "Content-Type: ";//文件类型response_header += SuffixToDesc(req.suffix);response_header += "\r\n";response_header += "Set-Cookie: name=haha&&passwd=12345";//Cookie文件response_header += "\r\n";string blank_line = "\r\n"; // \nstring response = response_line;response += response_header;response += blank_line;response += text;send(sockfd, response.c_str(), response.size(), 0);}close(sockfd);}static void *ThreadRun(void *args){pthread_detach(pthread_self());ThreadData *td = static_cast<ThreadData *>(args);td->svr->HandlerHttp(td->sockfd);delete td;return nullptr;}~HttpServer(){}
private:Sock listensock_;uint16_t port_;unordered_map<string, string> content_type;//ContentType对照表
};

#include "HttpServer.hpp"int main(int argc, char *argv[])
{if(argc != 2){exit(1);}uint16_t port = std::stoi(argv[1]);std::unique_ptr<HttpServer> svr(new HttpServer(port));svr->Start();return 0;
}

HTTPS

什么是HTTPS

HTTP协议中，用户的信息要么在正文里，要么在URL里，很不安全。
HTTPS也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层. HTTP 协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况.

https = http+ssl
在应用层正文进行加密，然后通过协议栈发送给对方，对方也是在应用层进行解密读取到正文，除了双方的应用层，其他层是看不到这份报文的正文内容的。

加密

加密就是把 明文 (要传输的信息)进行一系列变换, 生成 密文 。
解密就是把 密文 再进行一系列变换, 还原成 明文 。
在这个加密和解密的过程中, 往往需要一个或者多个中间的数据, 辅助进行这个过程, 这样的数据称为 密钥。
例如：
要发送一个数字，7，然后我们可以先进行^5再发给对方，发过去的是2，对方 ^5之后就能拿到7了。
这里7就是明文，2就是密文，5就是密钥。

在以前，去浏览器下载某款应用，如果找不到官网的话，到了别的网站下载这个应用，会发生两种情况，一种是未被劫持，应用下载会成功；如果被劫持应用就会被中间的运营商给替换掉，换成别的应用。
由于我们通过网络传输的任何的数据包都会经过运营商的网络设备(路由器, 交换机等), 那么运营商的网络设备就可以解析出你传输的数据内容, 并进行篡改.
点击 “下载按钮”, 其实就是在给服务器发送了一个 HTTP 请求, 获取到的 HTTP 响应其实就包含了该 APP 的下载链接. 运营商劫持之后,会修改掉这个下载地址。
所以，因为 http 的内容是明文传输的，明文数据会经过路由器、wifi 热点、通信服务运营商、代理服务器等多个物理节点，如果信息在传输过程中被劫持，传输的内容就完全暴露了。劫持者还可以篡改传输的信息且不被双方察觉，这就是 中间人攻击 ，所以我们才需要对信息进行加密。

不止运营商可以劫持, 其他的 黑客 也可以用类似的手段进行劫持, 来窃取用户隐私信息, 或者篡改内容。
在互联网上, 明文传输是比较危险的事情!!!
HTTPS 就是在 HTTP 的基础上进行了加密, 进一步的来保证用户的信息安全。

常见的加密方式

对称加密
采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密，特征：加密和解密所用的密钥是相同的。
就像上面说的传输数字 7 的例子。
特点：算法公开、计算量⼩、加密速度快、加密效率⾼。

非对称加密
需要两个密钥来进行加密和解密，这两个密钥是公开密钥（public key，简称公钥）和私有密钥（private key，简称私钥）。
其中公开密钥可以让所有人都知道，私有密钥只能自己知道，私钥加密的内容可以被公钥进行解密，但是公钥加密的内容只能被私钥解密。
比如说我们发送给一个服务器一条信息（只有这个服务器有私钥），所有人通过公钥进行加密，其他人读取不了这些消息，只有服务器的私钥才能进行解密。
特点：算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。
非对称加密要用到两个密钥, 一个叫做 “公钥”, 一个叫做 “私钥”. 公钥和私钥是配对的. 最大的缺点就是运算速度非常慢，比对称加密要慢很多.

数据摘要 && 数据指纹

数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash 函数)对信息进行运算, 生成一串固定⻓度的数字摘要。数字指纹并不是一种加密机制,但可以用来判断数据有没有被篡改。（将一个字符串通过hash算法转化成一个固定长度，非常低概率冲突的固定长度字符串，被转化的这个字符串具有唯一性——MD5算法）
摘要特征：和加密算法的区别是，摘要严格意义不是加密，因为没有解密，只不过从摘要很难反推原信息，通常用来进行数据对比

上面说的这个例子：

在第一次输入账号密码认证的时候就会通过MD5算法形成数据摘要（因为每个人的账号是不相同的），然后返回给用户的浏览器，也就是cookit：ID。

百度网盘还有个秒传的功能，这个也是通过MD5的算法来实现的技术。
假设用户A上传了一部电影，电影形成了数据摘要存在了百度网盘的库里，过了一段时间用户B也要上传这部电影，在上传的时候，会将要上传的电影进行数据摘要，然后判断库里是否有这个电影，发现这部电影存在，就会将这个电影变成共享文件，让用户A和用户B通过软连接的方式连接到这个共享文件；如果用户B上传的不是这个电影，那么再进行上传即可。

数字签名
摘要也是可以进行加密的，加密的摘要就叫做数字签名。

HTTPS工作过程探究

逐步设计完善一套安全方案。
假设客户端给服务器发送数据，中间有黑客进行劫持。

方案一：只使用对称加密

引入对称加密之后, 即使数据被截获, 由于黑客不知道密钥是啥, 因此就无法进行解密, 也就不知道请求的真实内容是啥了，可真的是这样吗？
实则不然，因为密钥也是需要传输给服务器，服务器才知道密钥是什么，那么传输的途中密钥要不要加密呢？加密服务器又不知道了，不加密黑客也会截取到密钥，也能解开密文，所以这种方法不可靠。

方案二：只使用非对称加密

也就是说，这种方法可以暂时保证客户端传输给服务器的数据不被黑客劫持，但是服务器发送给客户端的数据会被劫持，因为黑客也有公钥，服务器用私钥加密过的密文会被解开。

方案三：双方都使用非对称加密

简单来讲，就是方案二中客户端也生成私钥和公钥，互相传送给对方公钥，双方通过自己的私钥加密，用对方的公钥进行解密。
这样看起来是安全的，但是有和方案二的客户端发送给服务器数据一样的漏洞，并且这种方法效率低下。

方案四：非对称加密+对称加密

这里本质就是服务器给客户端公钥，客户端通过公钥对自己形成的对称密钥进行加密传给服务器，因为只有服务器才有私钥进行解密，所以看起来就保证了C的安全性，以后的通信同C加密解密即可。
但是，方案二三四的那种漏洞是非常致命的，如果黑客从最开始就从中间进行操作了呢？

方案二三四的致命问题

如果中间人形成了自己的公钥私钥，将服务器向客户端发送的S替换成M，那么客户端加密C就是用中间人的M进行了加密，并且服务器和客户端都不知道，因为客户端加密之后被中间人拿到，中间人又将C+M进行解密得到C，再让C+S发送给服务器。
这种叫做MITM攻击。
所以说还需要进一步对方案四进行改造才可以解决这个问题。（问题的本质是客户端无法验证服务器发送给自己的公钥是否合法）

引入证书

在边境，有关人员如何确定入境与出境人的身份合法？那就是身份证护照等等“证书”，并且是权威机构颁发的（当地政府）。
同理：服务端在使用 HTTPS 前，需要向 CA 机构申领一份数字证书，数字证书里含有证书申请者信息、公钥信息等。服务器把证书传输给浏览器，浏览器从证书里获取公钥就行了，证书就如身份证，证明服务端公钥的权威性。

证书的原理

1.申请认证证书，首先服务器要有自己的公钥和密钥。准备好：域名/法人/服务器自己的公钥，生成.csr文件发给CA机构去申请证书。
2.CA机构审核是否合法。
3.CA机构审核合法之后进行签发证书，这个证书不是纸笔打印的那种证书，而是安装到服务器上的。
4.服务器发送给客户端证书，不单单是公钥这么简单了。（证书里面有服务器的公钥，这就防止了中间人篡改公钥）
5.客户端验证服务器的证书是否合法。
6.合法之后在进行密钥协商。（发送对称密钥）

CSR文件生成

服务器对应的公司会将自己的信息生成csr文件，然后生成一个公钥和私钥，这个私钥服务器要自己保存。（这里的公钥是面向客户端的，发送给了CA机构进行认证，私钥就是服务器自己的私钥，也就是说在形成CSR文件前服务器没有公钥和私钥）
签名

这是CA签名的过程，数据就是证书当中的明文：

将这个明文进行数据摘要形成一段数据，然后用CA机构自己的私钥进行加密就形成了签名。
然后再次拿出将明文和这个签名合二为一就形成了带有签名的证书。

注意：签名的形成是基于非对称加密算法。
CA机构也有自己的公钥与私钥。
为什么签名不直接加密，而是要先 hash 形成摘要?
缩⼩签名密文的⻓度,加快数字签名的验证签名的运算速度。

方案五：非对称加密 + 对称加密 + 证书认证

客户端认证的时候，要拆开签名与明文，进行对比。
当然，每个客户端在出厂的时候都会内置很多权威机构CA的公钥。（和服务器的公钥无关）
在形成签名的时候，CA机构用自己的私钥进行加密，此刻进行认证就需要用CA机构的公钥进行解密形成散列值——数据摘要。
然后让明文也进行数据摘要。

客户端只认CA的公钥，也就是说，签名只有CA机构才有资格形成签名。（中间人没有CA的私钥，无法修改签名）
这样就不怕黑客修改明文了，就算改了签名，客户端也没有黑客的公钥，无法对签名进行解密，上面的散列值等式就不成立。

可如果黑客将整个证书全都掉包了呢？（黑客自己进行CA认证，发送给客户端）那就搞笑了，浏览器申请访问的是A网站，返回来的证书是B网站的，域名不同，也会被识别出来。

这样就可以防止中间人从一开始进行替换服务器公钥的操作了。

总结HTTPS的保密三组

HTTPS 工作过程中涉及到的密钥有三组.
第一组(非对称加密): 用于校验证书是否被篡改. 服务器持有私钥(私钥在形成 CSR 文件与申请证书时获得), 客户端持有公钥(操作系统包含了可信任的 CA 认证机构有哪些, 同时持有对应的公钥). 服务器在客户端请求时，返回携带签名的证书. 客户端通过这个公钥进行证书验证, 保证证书的合法性，进一步保证证书中携带的服务端公钥权威性。
第⼆组(非对称加密): 用于协商生成对称加密的密钥. 客户端用收到的 CA 证书中的公钥(是可被信任的)给随机生成的对称加密的密钥加密, 传输给服务器, 服务器通过私钥解密获取到对称加密密钥.
第三组(对称加密): 客户端和服务器后续传输的数据都通过这个对称密钥加密解密. 其实一切的关键都是围绕这个对称加密的密钥. 其他的机制都是辅助这个密钥工作的.