HTTPS的概述

说到https协议，我们得先了解下http协（Hyper Text Transfer Protocol）议，即超文本传输协议。http协议是基于tcp/ip协议的应用层协议，具有简单快速、无连接、无状态的特点，http请求的时候，首先有tcp的三次握手建立连接，断开的时候需要四次挥手，这个过程可以参考TCP/IP协议簇及TCP重传机制。
而另外一个需要了解的就是SSL/TSL协议。SSL(Secure Sockets Layer, 安全套接字层)，因为原先互联网上使用的 HTTP 协议是明文的，存在很多缺点，比如传输内容会被偷窥（嗅探）和篡改。 SSL 协议的作用就是在传输层对网络连接进行加密。TSL就是SSL标准化后的名字。
简单点说，HTTPS = HTTP + SSL/TSL，就是HTTP的安全版本。

HTTPS的演变过程

我们知道，HTTP需要三次握手完成tcp连接后，才能进行数据的传输，断开链接需要四次挥手，具体详见TCP/IP协议簇及TCP重传机制。那么HTTPS上述过程又是怎么样的呢？首先我们看下演变过程，HTTP三次握手建立连接后，数据完全裸奔，如下：

HTTP数据传输.png

对称加密.png

非对称加密.png

改良.png

SSL证书.png

HTTPS建立连接的过程：

（1）这一步，就是相当于我们在浏览器上输入url回车的过程。这个时候浏览器或者客户端（接下来统一为客户端）会把我们客户端支持的加密算法Cipher Suite（密钥算法套件）带给服务端。
服务端发送证书（公钥）给客户端
（2）服务端接收Cipher后，和自己支持的加密算法进行比对，如果不符合，则断开连接。否则，服务端会把符合的算法和证书发给客户端，包括证书时间、证书日期、证书颁发的机构。
（3）客户端验证证书，包括颁发证书的机构是否合法与是否过期，证书中包含的网站地址是否与正在访问的地址一致等
（4）验证通过后（或者用户接受了不信任的证书），客户端会生成一个随机字符串，然后用服务端的公钥进行加密。这里就保证了只有服务端才能看到这串随机字符串（因为服务端拥有公钥对应的私钥，RSA解密，可以知道客户端的随机字符串）。
（5）生成握手信息 用约定好的HASH算法，对握手信息进行取HASH，然后用随机字符串加密握手信息和握手信息的签名HASH值，把结果发给服务端。这里之所以要带上握手信息的HASH是因为，防止信息被篡改。如果信息被篡改，那么服务端接收到信息进行HASH时，就会发现HASH值和客户端传回来的不一样。这里就保证了信息不会被篡改。
（6）服务端接收到加密信息后，首先用私钥解密得到随机字符串。然后用随机字符串解密握手信息，获得握手信息和握手信息的HASH值，服务端对握手信息进行HASH，比对客户端传回来的HASH。如果相同，则说明信息没有被篡改。
服务端验证完客户端的信息以后，同样使用随机字符串加密握手信息和握手信息的HASH值发给客户端。
（7）客户端接收到服务端发回来的握手信息后，用一开始生成的随机字符串对密文进行解密，得到握手信息和握手信息的HASH值，像一步服务端验证一样对握手信息进行校验，校验通过后，握手完毕。从这里开始，客户端和服务端的通信就使用那串随机字符串进行AES对称加密通信。

对称密钥生成的过程

（1）首先，客户端利用CA数字证书实现身份认证，利用非对称加密协商对称密钥。
（2）客户端会向服务器传输一个“pubkey”随机数，服务器收到之后，利用特定算法生成另外一个“pubkey”随机数，客户端利用这两个“pubkey”随机数生成一个 pre-master 随机数。
（3）客户端利用自己在 client hello 里面传输的随机数 random_C，以及收到的 server hello 里面的随机数 random_S，外加 pre-master 随机数，利用对称密钥生成算法生成 对称密钥enc_key：enc_key=Fuc(random_C, random_S, Pre-Master)

验证总结

使用RSA非对称算法，服务端向客户端发送公钥，公钥包含了域名、颁发机构、过期日期。保证了公钥的合法性和服务端的身份正确性（而不会被黑客冒充）
客户端向第三方验证公钥的合法性，验证通过后向服务端约定对称加密的随机字符号。保证了随机字符串只有通信双方知道。
接下来的通信就使用这个随机字符号进行加密通信。因为随机字符串只有双方知道，所以信息不会被截获。
iOS的HTTPS证书的验证方式见iOS开发HTTPS实现之信任SSL证书和自签名证书

欢迎指正！！！
参考：
HTTPS 原理详解
深入揭秘HTTPS安全问题&连接建立全过程