当你用手机或电脑连入公共WiFi，在电商网站输入密码准备支付时，是否担心过密码会被黑客窃取？当你登录社交账号发送消息时，是否想过这些数据可能被中途篡改？这些担忧并非杞人忧天——在采用HTTP明文传输协议时，你的每一次数据传送都如同把个人信息写在明信片上，任何中间人都能轻易截获。而浏览器地址栏里那把绿色小锁，正是破解这一困局的关键密码。

一、从HTTP到HTTPS小绿锁的进化

（一）HTTP的致命弱点

传统HTTP协议采用明文传输，如同在公共场所大声朗读银行卡号和密码。某连锁咖啡店WiFi泄露事件中，黑客通过中间人攻击，在3小时内盗取了200余名顾客的支付信息。这种攻击方式的核心，正是利用HTTP协议无法验证服务器身份、不加密传输数据的漏洞。

（二）HTTPS在HTTP基础上叠加SSL/TLS加密层

加密传输：采用AES对称加密算法，将数据转化为密文。即使被截获，黑客看到的也是乱码。

身份认证：通过数字证书验证服务器真实性。当你在银行网站输入密码时，浏览器会检查证书是否由受信任的CA机构签发，确认真实性。

数据完整性：利用SHA-256哈希算法生成数据指纹。若传输中被篡改，指纹不匹配，浏览器会立即警告。

（三）浏览器地址栏小锁的三种颜色

绿色锁：表示网站使用了有效的EV SSL证书，此时浏览器地址栏会显示企业名称。这种证书需要对企业的身份进行严格审核，审核周期长达5 - 7个工作日。

灰色锁：表示网站使用了有效的DV SSL证书，该证书仅验证域名所有权，颁发速度较快，10分钟即可完成。它适合个人网站使用，但无法证明企业的身份。

红色警告：表示证书过期或域名不匹配，此时访问可能存在风险。

二、SSL证书如何构建安全通道

（一）非对称加密交换密钥，对称加密传输数据

假设有一个保险箱，有两把钥匙，A钥匙只能开锁，B钥匙只能上锁。我们可以把B钥匙配很多把，分发给所有需要发送信息的人，他们把信息锁到保险柜之中。而接收数据的人，拿着唯一的A钥匙，打开保险箱，就能取出信息了。这就是非对称加密，但是此种方式较为繁琐。在SSL/TLS体系中，为了减少后续大量传输信息的繁琐负担，只是采用这种传递密码（后续对称加密的密钥）。

当获取到密码（密钥）之后，后续发送海量信息时，就采用消耗较低的对称加密方式（加密解密使用同一密钥）传输数据。

（二）证书的多重验证

当浏览器收到证书时，会验证三种证书是否有效且匹配：服务器证书（网站使用的SSL证书）、中间证书（签发服务器证书机构的证书），根证书（浏览器内置的受信任CA证书）。若任何环节验证失败，浏览器会显示“此网站的安全证书存在问题”。

（三）案例解析：公共WiFi下的安全防护

在咖啡店连接WiFi时，若访问未部署HTTPS的网站：黑客可通过DNS劫持等手段，将用户访问的网站域名解析到黑客自己搭建的假冒网站服务器IP上，从而骗取用户密码；密码明文传输，也可以通过网络抓包获取用户传输的密码；黑客也可以通过截获篡改数据，给用户发送伪造的信息骗取密码。黑客获取密码后，可实施转账或身份盗用。

而部署HTTPS的网站：浏览器验证证书真实性，拒绝访问假冒网站；所有数据加密传输，即使被截获也无法解密；哈希校验确保数据未被篡改。

三、SSL的两个常见误区

（一）“免费证书不安全”误区

Let’s Encrypt证书已签发超过2.6亿张，被Chrome、Firefox等主流浏览器信任。其安全性与付费证书无本质差异，区别仅在于验证级别。

（二）“有小绿锁就绝对安全”误区

2023年，某电商平台因服务器存在漏洞而被入侵，尽管该平台使用了HTTPS，但仍导致用户数据泄露。这是因为HTTPS主要保护网络传输过程中的数据安全，却无法防御针对服务器或用户手机的入侵手段。

四、结语

2014年谷歌宣布将HTTPS纳入搜索排名因素，没有SSL证书的网站搜索时将会排在别人后面；大量浏览器也开始对未使用SSL证书的网站，提示不安全。那把绿色小锁，不仅是技术进步的象征，更是对用户隐私的基本尊重。检查你常访问的网站是否显示绿色小锁，若发现红色警告或缺失小锁，请向网站管理员反馈。你的每一次安全警觉，都在推动互联网变得更安全。

下次在公共WiFi下输入密码时，请记住：没有HTTPS的网站，就像在公共场所大声朗读银行卡号和密码；而那把绿色小锁，正是守护你网络隐私的押运员！

作者简介：李羿鹏，云南辛树计算机技术有限公司总经理，科普中国专家，高级工程师、副教授。拥有网络规划设计师等多项资质认证，主导多项企业级软件开发项目，在计算机技术与行业服务领域经验丰富。

来源: 李羿鹏