写在最前面嘿小朋友你好呀今天我们要一起学习一个超级重要的网络知识叫做 HTTPS。听起来好像很复杂对不对别担心我会用最简单、最有趣的方式讲给你听保证你能听懂准备好了吗让我们一起出发吧第一章先来想一个生活中的问题在讲 HTTPS 之前我先问你一个问题你有没有给好朋友写过小纸条想象一下这个场景你坐在教室的最前排你的好朋友坐在最后排你想告诉他一个秘密比如明天我请你吃冰淇淋。你写在纸条上然后让中间的同学一个一个传过去。但是问题来了中间传纸条的同学会不会偷偷打开看呢会不会把冰淇淋改成巧克力呢会不会假装是你写的骗你的好朋友呢这些都是有可能发生的对不对网络世界里也有同样的问题当你用电脑或手机访问一个网站你的信息要经过很多很多中间人才能到达网站。这些中间人就像传纸条的同学一样可能会偷看可能会篡改可能会假冒。所以我们需要一种方法来保护信息的安全这就是 HTTPS 要做的事情啦第二章先认识一下 HTTP要理解 HTTPS我们得先认识它的哥哥——HTTP。HTTP 是什么呢它的全名叫做超文本传输协议听起来好厉害对不对但其实它就是一种规则一种让浏览器和网站之间能互相说话的规则。想象一下你去餐厅点菜要怎么和服务员沟通呢你说我要一份鱼香肉丝服务员说好的请稍等然后给你端上来。这就是一种沟通规则HTTP 就是浏览器和网站之间的沟通规则。你的浏览器说我要看这个网页网站说好的给你然后把网页传给你。但是HTTP 有一个超级大的问题它说话是大声喊的所有人都能听到 你想想看你和服务员说话的时候旁边桌的人也能听到吧HTTP 就是这样所有的信息都是明文传输的任何人都能看到你说了什么。第三章HTTP 的危险让我给你举几个例子看看 HTTP 有多危险第一个例子假设你在 HTTP 网站上输入密码比如登录你的游戏账号。这个密码就像你大声喊出来一样所有中间人都能听到他们听到后就能用你的密码登录你的账号然后把你的游戏装备全部偷走第二个例子假设你在 HTTP 网站上买东西需要输入银行卡号。这个卡号也是大声喊出来的坏人听到后就能用你的卡号偷你的钱第三个例子假设你在看一个 HTTP 新闻网站坏人可以偷偷修改新闻内容把今天天气晴朗改成今天有大暴雨骗你穿雨衣出门️所以你看HTTP 真的太危险了我们需要一种更安全的方式这就是 HTTPS 出场的时候啦第四章HTTPS 闪亮登场HTTPS 是什么呢它就是 HTTP 的安全版本多了一个 S这个 S 代表Secure也就是安全的意思。所以 HTTPS 就是安全的 HTTP那 HTTPS 是怎么做到安全的呢它用了三个超级厉害的魔法第一个魔法叫做加密第二个魔法叫做身份验证第三个魔法叫做完整性保护。听起来很高级对不对别急我会一个一个讲给你听第五章第一个魔法——加密加密是什么呢就是把你想说的话变成乱码让别人看不懂我给你举个例子假设你想告诉好朋友我喜欢你但是你不想让别人知道。你们事先约定好一个密码规则每个字往后挪一位。那么我喜欢你就变成了找喜欢你开个玩笑实际上是把每个字符替换。别人看到这串乱码完全看不懂但是你的好朋友知道规则能还原出原来的话HTTPS 也是这样你的浏览器和网站之间会先约定好一个加密规则然后所有信息都用这个规则加密。中间人就算偷听到也只能看到一堆乱码根本不知道你说了什么但是这里有个问题浏览器和网站怎么约定加密规则呢要是约定的时候被偷听了那不就完蛋了吗这就要用到一个超级聪明的方法叫做非对称加密第六章神奇的两把钥匙想象一下你有一个神奇的盒子配了两把钥匙一把叫做公钥一把叫做私钥。这两把钥匙有什么神奇的呢公钥可以给所有人谁拿到都行私钥只有你自己有绝对不能给别人神奇的地方在于用公钥锁起来的东西只有用私钥才能打开反过来也一样️这有什么用呢我给你举个例子假设网站想和你说悄悄话。网站把它的公钥给你这个公钥所有人都能拿到没关系。你用这个公钥把你的话锁起来然后传给网站。中间人虽然能拿到这个锁着的盒子但是他没有私钥打不开只有网站有私钥能打开看到你的话是不是超级聪明这就是非对称加密的魔法HTTPS 就用这个魔法让浏览器和网站能安全地约定加密规则第七章第二个魔法——身份验证光加密还不够还有一个问题你怎么知道你访问的网站是真的呢万一是骗子做的假网站怎么办举个例子你想访问淘宝网结果坏人做了一个假淘宝网长得一模一样你输入了密码结果密码就被坏人偷走了所以我们还需要身份验证确认网站是真的HTTPS 是怎么做的呢它使用了数字证书数字证书就像网站的身份证证明这个网站是真的谁来发这个身份证呢有专门的机构叫做 CA全名是证书颁发机构。这些 CA 都是非常权威、非常可信的机构就像我们国家的派出所一样专门发身份证当你访问一个 HTTPS 网站网站会把它的数字证书给你。你的浏览器会检查这个证书是不是 CA 发的是不是真的有没有过期是不是这个网站的检查通过了才会继续通信如果有问题浏览器会马上警告你小心这个网站可能是假的⚠️第八章第三个魔法——完整性保护还有一个问题万一中间人虽然看不懂内容但是把内容改了怎么办比如你说转账 100 元给妈妈中间人改成转账 10000 元给坏人那不就完蛋了吗HTTPS 用了第三个魔法来解决这个问题叫做完整性保护它的原理是每条消息都附带一个指纹这个指纹是根据消息内容计算出来的。如果消息被改了指纹就会变接收方收到消息后会自己也算一遍指纹然后对比。如果指纹一样说明消息没被改过如果不一样说明被人动过手脚就拒绝接收这样中间人就没办法偷偷修改消息了第九章HTTPS 是怎么工作的好啦三个魔法都讲完了现在我们看看 HTTPS 是怎么把它们组合起来工作的。我给你讲一个完整的故事第一步你在浏览器里输入网址比如 https://www.taobao.com。注意前面是 https不是 http这告诉浏览器要用安全的方式访问。第二步浏览器和淘宝服务器开始打招呼。浏览器说“你好我想用安全的方式和你聊天这是我支持的加密方法。”第三步淘宝服务器把它的数字证书发给浏览器。这个证书里面有淘宝的公钥和身份信息。第四步浏览器检查这个证书。它会看这个证书是哪个 CA 发的这个 CA 我信任吗证书过期了吗是发给淘宝的吗检查通过✅第五步浏览器随机生成一个会话密钥这是一把对称加密的钥匙用来加密之后的所有通信。然后用淘宝的公钥把这个会话密钥加密发给淘宝。第六步淘宝用自己的私钥解密拿到了会话密钥。现在浏览器和淘宝都有了同一把会话密钥第七步之后所有的通信都用这把会话密钥加密。你输入的密码、看的网页、买的东西全都是加密的中间人偷不到、改不了、假冒不了是不是很厉害这就是 HTTPS 的完整工作过程第十章怎么知道一个网站是 HTTPS 的现在你已经知道 HTTPS 这么棒了那怎么判断一个网站是不是 HTTPS 的呢很简单第一种方法看网址。如果网址前面是https://“那就是 HTTPS 网站。如果是http://”那就是不安全的 HTTP 网站。第二种方法看小锁。在浏览器的地址栏旁边如果有一个小锁图标说明是 HTTPS 网站是安全的如果没有小锁或者有一个红色的警告标志那就要小心了⚠️记住以后输入密码、银行卡号这些重要信息之前一定要先看看有没有小锁没有小锁就别输入第十一章HTTPS 真的安全吗HTTPS 已经非常安全了但是它也不是百分百安全的。为什么呢因为安全永远是相对的不是绝对的。比如如果你的电脑中了病毒HTTPS 也救不了你因为病毒已经在你的电脑里了。再比如如果你被骗子骗去访问假网站虽然假网站可能也有 HTTPS但是它根本不是真网站。所以HTTPS 是一道很重要的防线但不是唯一的防线我们还要电脑装杀毒软件不点陌生链接不下载陌生软件仔细看网址有没有写错。这些都是保护自己的好方法️第十二章让我们回顾一下好啦今天的学习就要结束啦让我们一起回顾一下今天学到的知识。HTTP 是浏览器和网站说话的规则但是它说话是大声喊的不安全。HTTPS 是 HTTP 的安全版本用了三个魔法保护我们加密让别人看不懂内容身份验证确认网站是真的完整性保护防止内容被改。HTTPS 的工作原理用非对称加密两把钥匙来安全地交换会话密钥然后用会话密钥加密所有通信。判断 HTTPS 的方法看网址前缀和小锁图标。记住在网络世界里HTTPS 就像一个保镖保护我们的信息安全每次你看到那个小锁都要心怀感激因为它在默默保护你❤️最后的话亲爱的小朋友今天你学到了一个超级重要的知识下次当你打开网页看到那个小锁你就知道哇这背后有这么多神奇的魔法在工作加密、身份验证、完整性保护三个魔法一起守护着你的安全网络世界很精彩也有一些危险。但是只要你懂得保护自己知道 HTTPS 的重要性就能安全地探索这个奇妙的世界希望今天的学习让你觉得有趣如果还有不懂的地方随时可以问我哦我们下次再见啦✨