HTTPS出生名門：HTTPS協議是由Netscape(網景)公司在1994年提出的，目的是提供對網站服務器的身份認證，用來保證交換數據的隱私與完整性。

HTTPS正名已久：在2010年左右，HTTPS開始被廣泛應用，以確保各類型的網頁真實有效。

HTTPS關鍵事件：2018年7月24號，google Chrome宣布所有HTTP網站將會被標為不安全，并計劃在搜索排名中降低HTTP網站的權重和排名。

HTTPS免費運動：大部分的商業網站，為了給用戶提供安全可靠的服務，大多會選擇向CA機構購買付費證書。但還是有很多的個人網站、非商業網站，或多或少因為費用的原因，并沒有使用HTTPS。為了全面推動互聯網的安全，由Mozilla、思科、Akamai、IdenTrust和EFF等組織發起，現由非盈利組織互聯網安全研究小組（ISRG）運營的Let's Encrypt，免費、開放和自動化的提供證書頒發服務。（現在各大云平臺都有自己的免費證書服務）

為什么需要HTTPS

萬維網(WWW)，就像我們的高速公路，連通了我們每個人的個人電腦，方便我們的訴求信息，像快遞包裹一樣，在這些高速公路上高效流轉。同時，我們也需要尊重這些個人包裹，就像我們需要尊重每個人的隱私一樣。不能讓這些重要信息在運輸途中赤裸裸的暴漏在外面，什么人都可以看到，如果是這樣，還有誰愿意用快遞公司郵寄自己的個人物品呢？！

HTTPS可以加密我們的信息，將其安全的送達目的地。

為什么要加密？如果不這樣做，那我所發送的信息誰都能看得懂，在沒有秘密的前提下，我的美好生活就很難得到保障。比如朋友約我下午去他家，一起玩任天堂新版《群星大亂斗》，但我作業還沒做完。這時候如果這條信息通過家里的路由器發送給朋友，很有可能我的父母也能看到，要是被他們知道了，我不覺得他們會開開心心的開車送我去玩游戲。

加密的方式通常有兩種，一種是對稱性加密(Symmetric encryption)，也就是我和我的朋友用我們自己約定的語言發送密語，只有我們兩個能破解，讀懂我們彼此發送的信息，那么我們雙方要擁有相同的密碼表，也就是我們的證書。另一種就是非對稱性加密(Asymmetric encryption)，也就是證書有兩種，一種是公鑰，一種是私鑰。比如我和朋友用微信進行聊天，我們裝在自己手機上的微信叫客戶端，騰訊的微信服務器是服務器端?？蛻舳藭碛泄 €，而服務器端會擁有私鑰。他們按下面的規則進行通訊：

公鑰：

可以加密自己將要發出的信息，但自己沒法解密自己發出的信息
可以解密由私鑰加密的信息

私鑰

可以解密公鑰加密的信息
可以加密自己將要發出的信息

那我將要發送給好友的信息將會先抵達騰訊的徽信服務器，服務器拿著私鑰把我的信息先解密，調整后，又加密發給了我的好友，就像一個負責任的郵差一樣，我的好友收到我的信息后，再用公鑰解開，就能看到我發送給他的信息了。而我的父母是沒法看懂這些信息的，因為他們并沒有我倆的公鑰。這樣是不是就萬事大吉了，我們可以順利開啟我們的游戲人生了？

然而并沒有！因為不管是對稱加密還是非對稱加密，都需要面對一個問題，那就是如何保證密鑰的安全性，通過上面的應用場景可以看出，公鑰是需要傳播的，我們怎么保證傳播的途徑和保存的方式安全可靠呢？根據“我跟你說個秘密，你不要和其它人說”原理，我們很難保證，僅僅靠個人就能保證密鑰的安全性。如果持有的人少，可能泄漏的安全風險會相對小一些，但一旦同時持有的人數變多，風險就會急劇攀升，只要有一個人不小心或故意泄漏了密鑰，整個消息網絡就不再安全了。

當涉及到一些重要的隱私數據，如用戶名和密碼時，帶來的影響會是災難性的。比如我們要訪問某寶官網，選購我們需要的商品時，我們會在瀏覽器上打開這個站點，那么在這個過程中，我們怎么知道我們在訪問這個網站的過程中，有沒有中間人在過手我們的信息呢？因為如果這個中間人拿到了我們的公鑰，那它就可以在中間好好的隱藏起來，我們的交易還在繼續，但我們完全感知不到。而這個中間人已經獲取了我們的所有信息。

HTTPS可以為我們凈化網絡，給我們提供安全和保障。

可以看出，我們需要引入大家都依賴的第三方，幫助我們確認身份的關鍵信息。這時候就該CA(Certificate Authority)機構閃亮登場了，這個中間人做了幾件事：

簽發證書：就像是一個認證一樣，證明你就是你，咱們以網頁服務為例，中間機構需要確認的首要信息就是這個域名是屬于你的，如何向CA證明這個域名是屬于你的常見方法又有HTTP-01和DNS-01，簡單的來說就是如果你擁有該域名，要么你可以修改該域名的dns記錄，要么你有權限讓dns指向某臺服務器，反正就是你能管理該域名。認證通過后，向你頒發的證書里就有相關的信息，比如域名以及服務器ip地址等信息，就是為了說明，睢，這張證書的合理工作范疇在該域名和服務器之間，超出了就認為不合法。
向瀏覽器提供根證書，也就是該機構的通用公鑰，所有的由該機構頒發的證書加密的信息，這個根證書都能解密。
向瀏覽器證明，瀏覽器當前所連接的服務器，是否是該證書的合法持有者。

為了更好理解這個中間人的作用，我們站在瀏覽器的角度，假設用戶想訪問筆者的個人網站https://sunwei.xyz, 梳理一下這個認證流程：

用戶在瀏覽器地址欄輸入https://sunwei.xyz
瀏覽器會自動下載該網址的服務器證書，這里面會包含該網站的公鑰，并且被私鑰加密了
瀏覽器用預裝的各大CA機構根證書，進行解密，解密成功就意味著這是由CA機構正式頒發的證書，如假包換
瀏覽器拿著解密后的證書信息，將里面的詳細信息發送到CA機構，確認當前這個合法的證書，是否被當前正在連接的服務器合法持有。
認證都通過后，瀏覽器會動態生成對稱加密密鑰，并用公鑰進行另密發送給服務器，雙方確認后。瀏覽器和服務器將用這副對稱密鑰進行通訊，全世界有且只有他們倆能聽懂他們在說什么。

這時候，我們發現中間人沒有辦法再將自己繼續藏匿起來，不被發現。因為中間人的服務器不在CA機制的該證書認證列表里面。就算中間人也向該CA機構申請了自己的合法證書，但同理，你也不能將別人的域名或者服務器認證到你自己的證書里面。