ca是什么意思 电子商务ca是什么意思

ca是什么意思电子商务ca是什么意思有一天，产品经理突然发现自己的产品在电脑浏览器或者浏览器中打开时提示“不安全”！用户看到这样的情况该是多么的烦恼啊。谷歌浏览器对不安全网址的提示：打开不安全网址时，提示“防止欺诈和账户被盗，请勿使用”

有一天，产品负责人突然发现自己的产品在电脑浏览器或者浏览器中打开时提示“不安全”！用户看到这样的情况该是多么的烦恼啊。

Google Chrome 针对不安全URL 的提示：

打开不安全网站时提示“为防止诈骗和账号被盗，请不要付费或输入QQ密码”：

小王很疑惑，我们什么都没做，为什么不安全呢？经过一番研究，原来我们自己的产品的URL都是以http开头的，而不是https。经过和程序员的一番沟通，所有链接都改为https了，就不会再出现这样的提示了。

什么是http？

在弄清楚什么是https之前，您必须首先了解什么是http。

HTTP协议（超文本传输协议）是Internet上使用最广泛的网络传输协议。所有WWW（万维网）文件都必须符合此标准。我们经常看到网站上的很多接口，手机上的H5，甚至后端服务器，都是使用HTTP协议来实现的。

所以我们需要去百度，只要在浏览器中输入http://www.baidu.com，就可以访问百度的网站了。当然，如果你不输入http://，一般的浏览器会自动帮你完成这部分。

以谷歌浏览器为例，输入sports.sina.com.cn/nba/，访问新浪体育NBA频道，点击地址栏复制网址。只要找个地方粘贴：http://sports.sina.com.cn/nba/，你就会发现前面已经有http://协议的标志了。

HTTP传输简单灵活，但缺点是采用明文传输，请求和响应不确认通信方，无法保护数据的完整性，传输内容容易被窃取。

https是什么？为什么使用https

HTTPS（全称：Hyper Text Transfer Protocol over SecureSocket Layer）是一种以安全为目的的HTTP通道。基于HTTP，通过传输加密和身份认证保证传输过程的安全。

使用https传输网页内容后，客户端和服务器将使用“非对称加密算法”交换密钥。服务器，也就是上图中的小红，首先会生成一个公钥和一个秘钥。然后，将公钥与证书封装后，将证书交给用户，也就是上图中的小明。

什么是证书？

CA证书是指由证书颁发机构（CA，Certificate Authority），即颁发数字证书的组织，向相应的公司颁发的数字证书。 CA是负责颁发和管理数字证书的权威机构。 CA作为电子商务交易中的可信第三方，负责公钥系统中公钥的合法性验证。一般来说，证书服务是需要收费的。

世界上有很多证书颁发机构。程序员也可以生成自己的证书，但许多证书是“不可信的”。我们使用的，如Google Chrome浏览器、iPhone iOS系统等，只选择信誉良好的证书颁发机构颁发的Trust证书。

证书颁发机构就像我们使用的四路一站式快递。人们选择他们是因为他们认为他们值得信赖，而且快递受到损害的可能性很低。那些小公司或者自办证就像你没听说过的快递公司一样。当您选择它们来收发快递时，并非不能使用它们，但快递被盗的概率可能会增加。

用户从服务器获取到证书后，觉得该证书可信，就打开它获取里面的公钥。同时，客户端生成一个随机字符串，然后用服务器的公钥对该字符串进行加密。并将加密后的内容发送给服务费。

服务器获得用户发送的密文后，用私钥解密，得到用户的密码。这个过程称为非对称加密。

服务器知道用户的密码后，双方在传输数据之前，先用用户生成的密码对数据进行加密，然后传输给对方，然后对方用这个密码解密数据。当加密和解密使用相同的密钥时，该过程称为对称加密。

https的传输过程是这样的。首先采用非对称加密方式进行传输，让双方获得一个对称加密密钥，然后双方使用这个对称密钥对数据传输进行加密，这样可以兼顾安全性和速度。由于采用密文传输，第三方无法窃听用户与服务器之间传输的内容，提高了网站的安全性。

但这时候，小王又想到了另一个问题。一般情况下是有bug的。程序员总是在谈论捕获数据包。他们需要捕获数据包以查看传输的内容导致了错误。我们的网站使用https 协议。之后，数据被加密，所以你不知道传输了什么。那么以后遇到bug怎么办呢？然后程序员大哥会意地笑了笑说：其实也无所谓。 HTTPS也可以抓包。您只需要安装一个证书。

捕获https数据包的原理

前面提到，服务器在把公钥发送给用户的时候，是用证书来封装公钥的，就像我们给别人寄东西的时候，先放到快递包里，然后再寄出去一样。如果我们选择了不靠谱的快递公司，快递员会偷偷打开快递袋，更换里面的内容（或者可能只是打开看看里面有什么），重新包装，然后继续将快递递送给对方。实现了https的抓包过程。

程序员小哥所说的“安装证书”，其实就是信任抓包软件的第三方证书。那么这个“黑幕信使”就会充当不诚实的中间人，窃取客户端生成的对称密钥。然后它不断记录用户和服务器之间传输的密文，并使用窃取的密钥进行解密，从而知道双方之间传输的内容。

小王此时恍然大悟，难怪网上常说不要在电脑和手机上随意安装软件。虽然网站使用https来加密传输的内容，但如果你的手机上安装了类似抓包软件的病毒软件，后果将非常严重。于先生泄露了自己的账号密码和聊天内容！

本文最初由@iCheer 发表在《人人都是产品经理》上。未经作者许可禁止转载。

题图来自Unsplash，基于CC0许可证。