哎， 说起这个SSL加密，我一开始还以为是啥高科技呢，后来才知道就是咱们上网那个小绿锁，就是https开头的那个。但你要真问我SSL加密有啥方法， 我还真说不上来几个，好像听人说过什么对称加密、非对称加密，但具体是啥玩意儿，我也不太懂。不过既然让我写，我就瞎聊聊吧，反正我也不是专业的，就是随便说说你们别当真啊。

SSL加密到底是啥？

SSL加密，说白了就是保护咱们在网上传的东西不让别人偷kan。就像你寄快递，里面装的是银行卡密码，你要是直接写在快递单上，路上谁douNengkan到，那不就完蛋了？SSL就相当于给快递包了一层铁皮箱子，钥匙只有你有，别人打不开。不过这个箱子也有好几种，有的结实有的不结实suo以选哪种箱子hen重要。我上次听人说SSL不是一种加密方法，是一堆方法混在一起的，这个那个的，反正我听着就头大，很棒。。

对称加密：两边用一个钥匙

对称加密，这个我好像有点明白。就是发东西的人和收东西的人，用同一个钥匙。比如你把信装进箱子，用这个钥匙锁上，对方拿到箱子，也用这个钥匙打开。这个钥匙要是丢了huo者被别人知道了那箱子就白锁了谁douNeng打开。SSL里面好像常用这个对称加密， 造起来。 主要原因是快啊，就像你开门，用一把钥匙拧一下就开了比用密码锁方便多了。但问题是这个钥匙怎么给对方呢？要是直接在网上传，不也容易被别人截获吗？suo以SSL好像不是光用对称加密，还有别的。

对称加密里面好像有个叫AES的东西，听说现在挺流行的，平安性高。还有个叫DES的，好像hen老了现在dou不用了主要原因是太老了钥匙太短，人家一下子就Neng破解。我听说DES是以前用的， 现在dou用AES了AES有128位、256位的，位数越高越平安，但好像也越慢？反正我也不懂，反正人家说AES好就用AES吧。还有个叫ChaCha20的， 好像是给手机那些不太厉害的设备用的，主要原因是AES在手机上可Neng不够快，ChaCha20就快一点，适合那种老手机huo者物联网设备，比如你家里的智Neng手环什么的，无语了...。

非对称加密：两把钥匙， 一把公开一把私密

非对称加密这个就geng复杂了什么公钥私钥的。就是有两把钥匙，一把是公开的，谁douNeng拿到，另一把是你自己的，不给人。发东西的时候用公钥锁，只有私钥Neng打开。这样就算别人拿到了公钥，也打不开你锁的东西，主要原因是没私钥。SSL好像在刚开始的时候用非对称加密来交换那个对称加密的钥匙， 就是先商量好用什么钥匙，ran后再用对称加密传东西。这样是不是就平安了？主要原因是对称加密的钥匙是用非对称加密传的，别人截获了也没用，没私钥打不开钥匙。

非对称加密里面Zui出名的就是RSA了吧？好像现在hen多网站还在用。RSA的原理是什么来着？我忘了好像是大数分解什么的，反正挺复杂的，破解不了。但RSA有个毛病， 就是慢，特bie是数据大的时候，加密解密douhen慢，suo以不适合直接传大数据，只适合传点小东西，比如那个对称加密的钥匙。还有个叫ECC的，椭圆曲线加密，听说比RSA厉害，钥匙短但平安性高，适合现在那些要求高的地方。ECDHE好像是RSA的升级版， 每次握手dou生成新的钥匙，就算私钥泄露了以前的通信也不会被破解，这个叫前向平安？反正我也不懂，反正就是geng平安吧。

SSL里面这些加密怎么配合用的？

YYDS！ 我听说SSL不是光用一种加密，而是好几种混在一起用。刚开始的时候，客户端和服务器先聊几句，这个叫握手。握手的时候， 客户端告诉服务器“我支持这些加密方法，你选一个吧”，服务器就选一个，ran后两边就开始用这个方法加密。这里面好像包括密钥交换算法、对称加密算法、还有个啥哈希算法，反正就是一堆东西组合起来的，叫加密套件？

比如 可Neng先选个ECDHE来交换密钥，ran后用AES-256来加密数据，再用个啥函数来保证数据没被改过。这样是不是就平安了？但问题是这么多加密方法，怎么选呢？要是选了个不平安的，那SSL就没用了。 你我共勉。 比如以前有个叫RC4的加密方法，现在dou不Neng用了主要原因是人家破解了。还有MD5哈希函数，也不平安了现在dou用SHA256了。suo以SSL配置的时候，得把这些不平安的dou关掉，只留平安的。

不同设备怎么选加密方法？

也不是suo有设备douNeng用高级的加密方法。比如你家里的老路由器， huo者那种智Neng家电，内存小、CPU弱，可Neng跑不动AES-256，这时候就得选ChaCha20这种轻量级的。还有物联网设备， 比如传感器什么的，可Neng资源geng少， ICU你。 这时候可yi用PSK，就是预共享密钥，两边提前商量好一个钥匙，不用握手，直接加密，速度快，但缺点是这个钥匙要是泄露了整个系统dou不平安了而且没法改，suo以只Neng用在封闭的网络里比如家里几个设备互相通信，不Neng拿到外面用。

要是你的网站还要支持那种特bie老的浏览器， 比如IE8什么的，那就麻烦了主要原因是老浏览器不支持ECDHE，只Neng用RSA。这时候就得在RSA和AES之间选一个， 但RSA慢，而且要是服务器私钥泄露了以前的通信douNeng被破解， 太水了。 suo以Zui好还是让用户升级浏览器，别用老浏览器了。实在不行，就保留个RSA作为备选，但一定要告诉用户“你的浏览器太老了不平安，快升级”。

SSL加密不是越复杂越好， 得kan情况

抄近道。 其实SSL加密这东西，也不是说越复杂的算法越平安，还得kan你的设备、用户、业务需求。比如一个个人博客， 访问量不大，用户dou是用新浏览器的，那肯定选“ECDHE+AES-256-GCM”这种Zui好的，平安又快。但要是你Zuo的是物联网平台， 设备dou是那种几十年前的老古董，那选ChaCha20+PSK可Nenggeng合适，不然设备跑不动，用户抱怨卡，那就麻烦了。

我坚信... 还有， SSL加密也不是一劳永逸的，黑客技术一直在进步，今天平安的算法，明天可Neng就被破解了。suo以得定期检查你的SSL配置，kankan有没有不平安的算法，有没有过期的协议。可yi拿那个SSLLabs的工具测一下kankan你的网站加密配置有没有问题，有问题的赶紧改。

对吧？ 我上次听人说SSL配置不好，还不如不用。比如你用了不平安的算法， 用户kan到那个小绿锁，以为平安，其实数据还是Neng被偷，那还不如不用，省得用户误会。suo以SSL这东西，得认真配置，不Neng马虎。虽然我说的这些可Nengdou不太对， 但大概就是这么个意思吧，反正SSL加密方法挺多的，得根据情况选，不Neng瞎用。

再说说一下

太坑了。 反正SSL加密就是保护数据平安的， 有好几种方法，对称加密快，非对称加密平安，混着用。AES、RSA、ECDHE这些是常用的，但得选对的，而且要根据设备情况选。不平安的算法比如DES、RC4dou不Neng用了得关掉。物联网设备可yi用ChaCha20+PSK，老浏览器得用RSA，但Zui好还是让用户升级。总之就是 SSL这东西挺复杂的，我也不太懂，大概就是这些吧，你们要是想了解，还是去问专业的人吧，我说的可Nengdou是错的。