更多互聯網科普，歡迎點擊右上角關注我?

差評君昨天閑來無事想上個淘寶，結果發現瀏覽器報了個問題，說鏈接不安全。。。

上網搜了搜，發現不止差評君一個人遇到這個問題。

背后的原因很明顯：證書過期了。

這個證書。。。準確地說，是數字證書。

干嘛用的呢？

自我證明：證明你上的淘寶網真的是淘寶網。

你可能會好奇，淘寶網的域名 www.taobao.com 這么多年下來都沒變過，有啥好證明的？？？

一般來說，上網的時候用的是 HTTP 協議訪問網頁。

你在地址欄輸入網址，再按下回車的過程，實際上是通過瀏覽器發送一個請求。

服務器收到請求以后，會還給你一個網頁文件，一般來說長這樣。

瀏覽器會把這一串密密麻麻的東西，轉化成這個樣子??

黑客獲得你的網絡權限以后，可以在你輸入 www.taobao.com 并回車時，把請求截取，然后還給你個調包過的文件。

這個文件可以是個釣魚頁面，在不知情的時候往里輸入賬號密碼的話，就完蛋了。

以前訪問網站的時候，用的是 HTTP ，“ 超文本傳輸協議 ” ，網站的開頭是 " http:// " 起始。

后來工程師們覺得這不安全，有類似上面提到的調包風險，就在 HTTP 上添加了一層加密算法，并命名為 HTTPS ， “ 超文本傳輸安全協議 ” 。

數字證書一般是由一些權威機構頒發的，這些機構叫 CA （ Certificate Authority ）。

京東的證書簽發者??

CA 就好比是給人發身份證的機構，權威性非常高。

一家網站申請證書時，CA 要去仔細審查這家網站，同時再給這些網站配一套加密工具 （ 公鑰和密鑰 ）。

這就類似公安審查一個新生兒的狀況，然后給他/她添加戶口。

瀏覽器會記住這些證書頒發機構，保存起來。

當你訪問淘寶網時，淘寶網會給瀏覽器（ 也就是客戶端 ）看自己的證書，同時把上文提到的加密工具里的 “ 公鑰 ” 一起發過去，類似出示身份證。

瀏覽器接收到證書之后，會拿著證書找頒發機構驗證一下，這一步類似找公安網絡驗證身份證。

驗證有效以后還沒完，這只能證明證書是有效的而已，但萬一是頂替的呢？

隨后瀏覽器掏出發來的公鑰，加密一段消息，和淘寶網通信一下，如果是真的淘寶網，對方有 “ 公鑰 ” 對應的 “ 私鑰 ” 來解密。

這個過程叫做非對稱加密，常見的算法有 RSA 。

實際情況比差評君描述的還要復雜：

數字證書可能會被篡改，因此還需要數字簽名來驗證證書沒被篡改過。

RSA 算法的背后，是美麗的數學和偉大的工程實現。

總而言之，訪問淘寶網不只是簡單的輸入地址到達目的地，事實上這個過程中簡直演了一出諜戰戲。

HTTPS 這一套方案很有效，現在也被廣泛使用，一些主流瀏覽器，例如谷歌的 Chrome 從去年開始把所有的 HTTP 標記為不安全。

當然，這是一個工程方案，肯定存在短板。

首先，也是這次淘寶網碰到的問題：忘記續費的話，就會被標記為不安全。。。

這次的過期日子是 11 月 22 日，也就是周四，然而他們應該是忘記及時續上了。

那能不能一次性買個幾十年？

也不是不行，這樣就不用惦記著續了。

但是萬一頒發的 CA 出了什么幺蛾子，這錢就花冤枉了；而且同一套加密用很久不更新，挺不安全的。

因此像淘寶網這種正規大型網站，都是一年一續。

其次是。。。 CA 說白了還是一套中心化管理，也就是默認大家相信一個權威。

但這個權威其實是收錢辦事的，萬一為了利益倒賣證書，或者和幾個合作的巨頭聯合打壓競爭對手，那信用體系就崩壞了。

賽門鐵克 （ 殺毒軟件諾頓的開發商 ）就爆出過證書丑聞。

所以說，目前這一套系統不是沒有問題，安全技術永遠在陽光照不到的地方，和安全問題做著斗爭。

這也是大家如此憧憬區塊鏈技術的原因之一 --去中心化的加密在很多場景都會非常有用。

對于吃瓜群眾來說，雖然你不用看懂證書，但碰到被瀏覽器標記為 “ 不安全 ” 的網站，還是要謹慎一些。

圖片來源：StudioRui Marketingtaobao.cominstant SSLjd.com參考資料：Instant SSLsegmentfault @seanlook SSL/TLS原理詳解維基百科 “ HTTPS ”V2EX 帖子 “ 淘寶，你家證書過期了。 ”