HTTPS就等于HTTP加上TLS（SSL)，HTTPS协议的目标主要有三个：     数据保密性。保证内容在传输过程中不会被第三方查看到。就像快递员传递包裹时都进行了封装，别人无法知道里面装了什么东西。     数据完整性。及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。     身份校验。保证数据到达用户期望的目的地。就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方。 启用HTTPS之前需要有证书，而证书需要首先在自己服务器上创建CSR，对应的公钥和私钥。这里我全部都拿Nginx服务器举例，Apache也不会差太多，都是基于openssl的。因为我只有一个主机域名www.1sucai.cn，所以证书方便选择了COMODO的PositiveSSL，每年9刀。需要注意COMODO要求证书至少是2048位，见下面的命令。激活证书的时候需要注意common name那里要填写自己的域名地址，我因为并不使用jb51.net，所以这里写的就是www.1sucai.cn，需要注意这两个主机地址是不同的。其他的组织名公司名什么的如果没有就写NA，不要留空。下面简单说一下步骤 1、以root登录，升级服务器。这里是为了解决OpenSSL的一个大漏洞CVE-2014-0224，因为ChangeCipherSpec消息的问题可能导致中间人攻击，解密并修改被攻击的服务器和客户端之间的通信，从而获得加密的数据。 查看OpenSSL版本，确认至少在1.0.1h以上， 如果没有，升级服务器，以Debian为例 2、创建CSR和私钥 得到2个文件，私钥www.1sucai.cn.key，CSR文件www.1sucai.cn.csr，其中CSR里面的内容在激活证书的时候需要提交 3、购买证书，完成激活，下载证书文件 下载的证书文件通常是一个压缩包，有些是2个文件，有些是4个文件 如果是2个文件，是这样的： [list] [*]www_jb51_net.ca-bundle[/*] [*]www_jb51_net.crt[/*] [/list] 如果是4个文件，通常都是这样的： [list] [*]www_jb51_net.crt[/*] [*]COMODORSADomainValidationSecureServerCA.crt[/*] [*]COMODORSAAddTrustCA.crt[/*] [*]AddTrustExternalCARoot.crt[/*] [/list] 其中www_slyar_com.ca-bundle就是自动合并了其他3个文件的产物，一个道理 4、合并证书，顺序一定不能错 或者 最后产生的www.1sucai.cn.crt是4个文件的合并，此文件与之前产生的www.1sucai.cn.key一起组成了Nginx需要使用的证书 5、把www.1sucai.cn.crt和www.1sucai.cn.key复制到Nginx的conf目录下，比如/usr/local/nginx/conf/ 6、修改Nginx配置文件或者vhost/下的虚拟主机配置文件，启用https，配置加密方式等 7、测试Nginx配置文件并重新reload配置文件 这样服务器的HTTPS就配置完了。 既然HTTPS非常安全，数字证书费用也不高，那为什么互联网公司不全部使用HTTPS呢？原因主要有两点： HTTPS对速度的影响非常明显。每个HTTPS连接一般会增加1-3个RTT，加上加解密对性能的消耗，延时还有可能再增加几十毫秒。 HTTPS对CPU计算能力的消耗很严重，完全握手时，web server的处理能力会降低至HTTP的10%甚至以下。 HTTPS为什么会严重降低性能？主要是握手阶段时的大数运算。其中最消耗性能的又是密钥交换时的私钥解密阶段（函数是rsa_private_decryption）。这个阶段的性能消耗占整个SSL握手性能消耗的95%。 然而随着各大网站的相继跟进与硬件的摩尔定律下，为了安全而做这点性能牺牲还是值得的。