HTTP协议中，信息以明文传输。
例如，小刚登陆科创论坛，用户名和密码都是明文传输的。因为从小刚家到科创论坛要经过很多网络设施，黑客可以在这个过程中拦截到小刚的密码。

所以，我们要加密小刚与科创论坛之间的通信。
我们先来介绍对称加密。对称加密其实就是RAR压缩包的加密方式：利用同一个密钥实现加密和解密。
假设小刚知道科创的密钥是loveKC，他利用这个密钥加密所有的数据，再发给科创，然后科创将数据用loveKC密钥解密。这个过程就很不安全，因为黑客很容易就可以知道这个密钥。大家都是论坛的普通用户，既然小刚能知道，大家都能知道。于是黑客仍然能监听到通信内容，也可以伪造通信内容。

然后介绍非对称加密。非对称加密是一个伟大的发明，具体各位可以搜索RSA算法。概念上来讲，科创论坛有两个密钥，一个是公钥，一个是私钥。公钥是公开的，所有人都知道；而私钥只有科创自己知道。用公钥加密的数据，只能用私钥解密；用私钥加密的数据，只能用公钥解密，这就是非对称加密的伟大之处。
现在，假设小刚知道科创的公钥是KCpublic，于是他用公钥加密数据，再发给科创。黑客在过程中并不能解密，因为黑客无法获得私钥。数据到达科创后，科创用私钥KCprivate解密，就能获得小刚发来的信息了。是不是很奇妙？这就是对非对称加密的一个不严谨的概括。总而言之，HTTPS需要配合一定的非对称加密技术实现其保密功能。

但是这个过程仍然不安全。黑客可以把自己伪装成科创论坛，自己生成公钥和私钥，然后把公钥发给用户。这样一来，用户很可能误以为黑客就是科创（假如这个用户对科创不是很熟的话），然后把敏感信息通过黑客的公钥加密，给黑客发过去。我靠，这可怎么防？怎样才能验证，发给我公钥的人，就真的是科创论坛，而不是黑客呢？

于是专家们研究了很久，最后给出解决方案：证书。什么是证书？比如政府颁发的营业执照，就是一种证书，它的特点是难以伪造：只要打个电话给工商局确认一下，就知道真假了。显然，要伪造一个公司很容易，但要伪造一个政府或者权威机构，就很困难了。

具体怎么操作呢？首先，由国家权威机构生成一个“国家权威非对称密钥”，其中公钥部分以“根证书”的形式强制发给每一个互联网用户。这样，就保证了任何人都可以解密并确认来自国家权威机构的信息。
而私钥，则由国安+武警重兵把守，锁在中南海里面，保证任何人不得接近。这样，就保证了任何人都不能把自己伪装成国家权威机构，发送伪造的权威信息。
随后，科创论坛的负责人坐车去中南海，填写一个《申请kechuang.org证书》的表格，并交一定数量的管理费。中南海就会利用国家权威私钥，为科创签发一个SSL证书，可以用于HTTPS。

由于这个证书里面记录了科创的域名kechuang.org，而且可以通过公开的国家权威公钥，来验证确实是国家颁发的，所以大部分的网络用户都会信任。如果一个黑客想要把自己伪装成kechuang.org，他就必须去中南海填表申请国家权威证书，结果肯定马上就被武警和国安撵了出去。这样一来，再也没有人能伪造科创的身份啦！代价就是科创必须每年向中南海支付保护费。
如果不是为了“权威”，科创自己也是可以给自己颁发证书的（也很简单，用OpenSSL套装即可），只不过所有的网络用户都不会信任。

问题1：到底有哪些权威机构，给我颁发了根证书，令我承认它们？
windows用户请打开“Internet选项”，然后点击“内容”选项卡的“证书”按钮。

如果在这里添加科创自己颁发的根证书，浏览器就会信任之，可以省下一笔保护费。

问题2：权威机构如何保护私钥不被盗取、不被破坏？
除了国安和武警，还需要在具体软硬件上下功夫。
目前通行的解决方案叫做硬件安全模块(hardware security module, HSM)，简单的讲就是一个小盒子，它内部保有私钥，可以签发证书，但几乎无法通过任何方式获取其内部私钥，相对来说也较难被破坏。

注：暴利。