網(wǎng)上說TLS的文章很多，要學習TLS技術(shù)有很多不錯的選擇。本文并不是一個權(quán)威的教程，只是我個人學習TLS后基于自己理解的一個總結(jié)而已。如果有讀者通過閱讀此文后加深了對TLS的理解，不勝榮幸。

要聊TLS，還得從HTTP說起，HTTP可以說是作為目前最流行的一個網(wǎng)絡(luò)協(xié)議，可以說是網(wǎng)絡(luò)的基石之一。一般來說可以理解為從瀏覽器看到的所有東西，都是構(gòu)建于HTTP之上的。

早期HTTP協(xié)議被設(shè)計成在一個可信網(wǎng)絡(luò)環(huán)境中運行，其設(shè)計理念以簡單為主——通過一個通用格式的明文請求就能夠獲取到各種文檔、樣式、腳本、富媒體內(nèi)容等。

由于其簡潔性，各種互聯(lián)網(wǎng)應(yīng)用都得以在其之上進行充分的擴展，從最早的一個HTML文檔就是一個網(wǎng)頁，到如今打開一個淘寶首頁就有百八十個HTTP請求。各種類型的HTTP請求相互配合，組成了如今我們所看到的繽紛多彩的互聯(lián)網(wǎng)世界。

然而，如今的互聯(lián)網(wǎng)環(huán)境紛繁復(fù)雜，HTTP的簡單也面臨兩個大的問題

• 安全性無法保證
• 單次請求獲取一個文檔的方式，不滿足如今流式傳輸體驗所要求的性能

本文主要著眼于安全性方面，第二點后續(xù)有機會再議。

導(dǎo)致安全問題的一個重要原因是通過HTTP的請求及返回都是明文的，下面通過兩個例子說明。

其一是網(wǎng)絡(luò)運營商劫持問題。主要是指我們的網(wǎng)絡(luò)運營商(電信、聯(lián)通、移動等)通過在我們看的網(wǎng)頁中添加廣告，來謀取廣告費的問題。下面來看看他們是怎么做的。

我們所謂的『上網(wǎng)』大體分為兩步，首先給我們要上的網(wǎng)的服務(wù)器發(fā)送一個請求，然后接收到服務(wù)器返回的內(nèi)容，瀏覽器將這些內(nèi)容展示出來就是我們看到的網(wǎng)頁了。我們的請求并不是直接發(fā)送給目標網(wǎng)站的服務(wù)器的，中間經(jīng)過了層層的轉(zhuǎn)發(fā)。

如上圖所示，整個互聯(lián)網(wǎng)其實是一個拓撲結(jié)構(gòu)，我們的請求往返于服務(wù)器之間，其實是經(jīng)過了很多個節(jié)點的(這里只是簡單YY了一個三層的結(jié)構(gòu)，實際網(wǎng)絡(luò)拓撲要復(fù)雜很多)。圖中橙色的節(jié)點就是我們網(wǎng)絡(luò)運營商的節(jié)點了。按說運營商收了我們的網(wǎng)費，好好的做好傳送數(shù)據(jù)的事情就好了。然而一些黑心運營商(干這事的一般為三四線城市的小運營商)在收了網(wǎng)費的同時還不好好干活，在服務(wù)器的返回內(nèi)容中插入他們自己的廣告，以此來多謀得一份廣告收入。

這里隨便網(wǎng)上找了兩個被插入廣告的例子。

從第二個圖可以看到，運營商通過解析HTTP請求返回的HTML內(nèi)容，在其中插入一個iframe區(qū)塊，完成廣告的展現(xiàn)。這個事情本身沒難度(分析網(wǎng)絡(luò)請求的具體內(nèi)容，有個專業(yè)術(shù)語叫『深度包檢測』)，做不做就是運營商的節(jié)操問題了。

由于這種現(xiàn)象還是比較影響體驗的，因此一些網(wǎng)站踏上了全站HTTPS改造之路，不惜巨大改造成本和性能壓力，旨在避免運營商的流氓行徑，這里先按下不表。

上述這種問題我們總結(jié)下，屬于『可信(相對)』人員占著『有利位置』，通過篡改請求來『某點小利』。這里之所以說這些黑心運營商是『可信』，是因為他們雖然有能力做任何事，但畢竟本職是負責傳輸，除了打打小廣告之外，一般還是能夠保證傳輸內(nèi)容的安全的。因此當你碰到這種情況時不必過于緊張，打個電話投訴下也就完事了。

為什么強調(diào)『可信』這個概念，是相對于下面這個case來說的?！嚎尚拧坏倪\營商在『有利位置』，這是沒辦法改變的。但要是我們不小心把『不可信』的不法分子也放到『有利位置』，那恐怕就不是被打打廣告這個簡單了。所謂的『不可信』就是下圖這種情況。

之前的圖中紅色節(jié)點是我們家里自己的wifi，那是可以保證安全的。但如果你是出門在外，使用的是餐廳、咖啡館、酒店、機場的wifi，那還能保證安全嗎?當然不能!雖然一般公共場所提供wifi也就是個便民服務(wù)，沒啥心機。但假設(shè)你不幸連接到的是不法分子故意開放的wifi，那危害就很大了。

這些不法分子可以窺探你所有的請求以及服務(wù)器的返回，那簡直就是想干啥就干啥了。以下為YY場景。

• 假設(shè)正好你上的某個小眾網(wǎng)站技術(shù)水平不高，你的用戶名密碼都是以明文或可逆的加解密算法傳遞的話，不法分子就能拿到你的用戶名密碼了。當然不法分子可能對你的小眾網(wǎng)站并不感興趣，看了一眼就關(guān)了。但是他轉(zhuǎn)念一想，由于記憶困難，一般人對不同網(wǎng)站用同一個密碼的可能性很大。因此他會拿著你的用戶名密碼去qq、淘寶、支付寶等大網(wǎng)站嘗試。一旦你真的用了同樣的密碼，那就中招了。再想得邪惡點，假設(shè)你看的那個簡陋的小眾網(wǎng)站，本身就在收集用戶名密碼呢?? 因此對于一般人來說，建議至少能夠?qū)嵭泻唵蔚拿艽a分級，重要的大網(wǎng)站搞一個復(fù)雜的密碼，平時隨便看看的小眾網(wǎng)站就搞個簡單密碼吧。
• 你訪問的是正規(guī)網(wǎng)站，技術(shù)水平OK，密碼都是通過加鹽MD5傳輸?shù)模悄憔秃馨踩?NO!在web應(yīng)用中，每當用戶登錄時，服務(wù)器都會為其生成一個『令牌』。在后續(xù)用戶的各種操作時，用戶都需要將這個『令牌』帶在請求中，以此來告訴服務(wù)器用戶的合法身份。不法分子完全可以通過分析web應(yīng)用的請求，找到其中的令牌字段。一旦拿到這個令牌，那不法分子就擁有和用戶一樣的權(quán)限了。這個問題比上一個問題好一些的地方在于，令牌是有時效性的。比如今天一個用戶的令牌在訪問某網(wǎng)站時被人獲取了，那不法分子就可以用這個令牌和真正的用戶一起訪問該網(wǎng)站了。但如果真正的用戶退出登錄了，那不法分子這邊也就不再能訪問了。同時拿了網(wǎng)站A的令牌只能訪問網(wǎng)站A，不法分子沒辦法去sh試網(wǎng)站BCD。
• 上兩個場景都需要不法分子提前對用戶訪問的網(wǎng)站進行分析，這樣才能知道哪個字段才是密碼或令牌。雖然有時不法分子水平一般，不能從請求中找到密碼或令牌。但至少用戶訪問的網(wǎng)站及內(nèi)容是一目了然的。用戶發(fā)的微博、看的新聞、上傳的照片、心情日記等等隱私全都被暴露了，也難怪網(wǎng)上經(jīng)常會爆出『XX門』了。

上述兩次例子中，運營商和公共wifi提供者要么是竊聽了用戶的請求，要么是往服務(wù)器的返回中加點料。不管具體方法是啥，問題的本質(zhì)在于HTTP請求和返回都是明文的。導(dǎo)致一路上這么多節(jié)點，每個節(jié)點都可以拿點它需要的信息，或者往里再加點料~

除此之外，HTTP的另一個問題是沒法校驗返回給你內(nèi)容的服務(wù)器是否是目標服務(wù)器。這說的有些拗口，也沒法找到真實的應(yīng)用層實例，那我們來看下類似的一個例子吧。

如圖所示是防火墻設(shè)備阻止用戶訪問特定網(wǎng)站的一種技術(shù)，有些公司會禁止員工訪問游戲、股票等網(wǎng)絡(luò)服務(wù)，就會用到這種技術(shù)(國家有時候也可以看做一個公司?)。HTTP基于TCP/IP協(xié)議之上，借助DNS協(xié)議的配合，幫助用戶只需要記住一個好記的單詞(域名或叫網(wǎng)址)，就能訪問到特定的網(wǎng)絡(luò)服務(wù)。這個路由的原理不在本文范圍之內(nèi)，但TCP/IP + DNS + HTTP這套機制能夠work的原因同樣基于一個假設(shè)——網(wǎng)絡(luò)環(huán)境是可信的，網(wǎng)絡(luò)中的每個節(jié)點都會按照協(xié)議要求有序運作。上圖中的橙色節(jié)點在用戶訪問百度時正常工作，但在訪問youtube時則沒有把請求往上傳遞，而是直接回復(fù)用戶不能響應(yīng)請求。(TCP RST為斷開TCP連接)還有一種情況下請求還是往上傳遞到目標服務(wù)器了，但中間節(jié)點卻提前回復(fù)了一個TCP RST。用戶端瀏覽器收到一個TCP RST后并不知道真相，以為是要訪問的服務(wù)拒絕了我們的請求，因此就關(guān)閉了請求。而實際上服務(wù)器是無辜的，有節(jié)點偽裝了它。

上述例子還是我們『可信』的運營商或者防火墻提供商進行網(wǎng)絡(luò)管理的一種手段，其結(jié)果也就是用戶上不了某些網(wǎng)站而已，影響不是太大。和明文問題一樣，要是碰到的是一個『不可信』的節(jié)點，那問題就大得多。

上圖是網(wǎng)上找的一個釣魚網(wǎng)站的例子，這個問題大家現(xiàn)在都很注意了。不法分子將假網(wǎng)站做的和真網(wǎng)站一模一樣，通過聊天工具或短信騙用戶點擊訪問，企圖利用假網(wǎng)站騙取用戶的用戶名密碼。這種做法能夠被大多數(shù)人注意的原因是其網(wǎng)址和真網(wǎng)站不同，但如果把釣魚網(wǎng)站這個方式往上面的例子套，那就完全能以假亂真了。這種問題對于HTTP請求來說幾乎沒有分辨的辦法。

上述兩個例子都是用戶沒有訪問到真正的目標服務(wù)器，而是由某個惡意節(jié)點偽裝成目標服務(wù)器給用戶返回了內(nèi)容。這種方式在一般的上網(wǎng)過程中是幾乎無法分辨的，只有技術(shù)人員刻意進行分析時，才能發(fā)現(xiàn)這種偽裝HTTP服務(wù)器的情況。

至此全文一共聊了四個例子，說明了HTTP存在的兩個安全問題

• 明文
• 無法驗證服務(wù)器的真實性

為了解決這兩個問題，我們引入TLS(傳輸層安全)協(xié)議。運行在TLS協(xié)議之上的HTTP協(xié)議稱作HTTPS，簡而言之大家日常上網(wǎng)時盡量使用HTTPS網(wǎng)址來代替HTTP網(wǎng)址，就可以大大提到安全性了~

上篇結(jié)束，下篇會介紹下TLS的大致原理，解釋其為啥能夠保證安全。