一、HTTPS通信的必要性

在物联网设备开发中，数据传输安全是核心需求之一。传统HTTP协议以明文传输数据，存在中间人攻击、数据篡改等风险。HTTPS通过SSL/TLS协议建立加密通道，可有效保护设备与服务器间的通信安全。对于资源受限的嵌入式设备（如ESP8266/ESP32），实现HTTPS通信需解决两个核心问题：证书验证机制与内存资源优化。

1.1 证书验证方式对比

对于8/16位MCU设备，推荐采用证书指纹校验方案。该方案通过预存服务器证书的SHA1指纹，在握手阶段比对证书指纹实现轻量级验证，既能保障基本安全，又可显著降低内存消耗。

二、证书指纹获取方法

2.1 指纹生成原理

证书指纹是证书内容的哈希值，常用算法包括SHA1和SHA256。以SHA1为例，其生成过程为：

1. 获取服务器证书的DER格式二进制数据
2. 使用SHA1算法计算哈希值
3. 将二进制哈希转换为16进制字符串

2.2 开发环境获取方式

2.2.1 OpenSSL命令行工具

# 提取证书指纹（需替换example.com为实际域名）
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | \
openssl x509 -noout -fingerprint -sha1

执行结果示例：

SHA1 Fingerprint=A1:B2:C3:D4:E5:F6:G7:H8:I9:J0:K1:L2:M3:N4:O5:P6:Q7:R8:S9:T0

2.2.2 浏览器开发者工具

1. 访问目标HTTPS网站
2. 打开开发者工具（F12）
3. 切换至Security标签页
4. 查看证书详情中的指纹信息

2.2.3 编程方式获取（Python示例）

import ssl
import socket
def get_cert_fingerprint(hostname, port=443):
    context = ssl.create_default_context()
    with socket.create_connection((hostname, port)) as sock:
        with context.wrap_socket(sock, server_hostname=hostname) as ssock:
            cert = ssock.getpeercert(binary_form=True)
            fingerprint = ssl.SSLContext().load_verify_locations(cadata=cert) \
                .get_ca_certs()[0]['sha1Fingerprint'].replace(':', '').lower()
            return fingerprint
print(get_cert_fingerprint("example.com"))

三、ESP设备HTTPS实现方案

3.1 硬件准备

3.2 开发环境配置

1. 安装Arduino IDE 1.8+
2. 添加ESP开发板支持：
   • 文件 > 首选项 > 附加开发板管理器URL
   • 添加：https://arduino.esp8266.com/stable/package_esp8266com_index.json
3. 通过开发板管理器安装：
   • ESP8266 Community (v3.0+)
   • ESP32 by Espressif Systems (v2.0+)

3.3 核心代码实现

3.3.1 基础HTTPS请求（ESP32示例）

#include <WiFi.h>
#include <HTTPClient.h>
#include <WiFiClientSecure.h>
const char* ssid = "your_SSID";
const char* password = "your_PASSWORD";
const char* server = "example.com";
const uint16_t port = 443;
const char* fingerprint = "A1B2C3D4E5F6G7H8I9J0K1L2M3N4O5P6Q7R8S9T0"; // 替换为实际指纹
void setup() {
  Serial.begin(115200);
  WiFi.begin(ssid, password);
  while (WiFi.status() != WL_CONNECTED) {
    delay(500);
    Serial.print(".");
  }
  WiFiClientSecure client;
  client.setFingerprint(fingerprint); // 设置证书指纹
  HTTPClient http;
  if (http.begin(client, "https://" + String(server) + "/api/data")) {
    int httpCode = http.GET();
    if (httpCode > 0) {
      String payload = http.getString();
      Serial.println(payload);
    }
    http.end();
  }
}
void loop() {}

3.3.2 优化方案（ESP8266内存优化）

#include <ESP8266WiFi.h>
#include <ESP8266HTTPClient.h>
#include <WiFiClientSecureBearSSL.h>
// 使用BearSSL库降低内存占用
WiFiClientSecure *client;
void setup() {
  Serial.begin(115200);
  WiFi.mode(WIFI_STA);
  WiFi.begin("SSID", "PASSWORD");
  while (WiFi.status() != WL_CONNECTED) {
    delay(250);
    Serial.print(".");
  }
  // 初始化BearSSL客户端
  client = new WiFiClientSecure;
  client->setFingerprint(SHA1_FINGERPRINT); // 定义见上方
  HTTPClient https;
  if (https.begin(*client, "https://example.com/data")) {
    int httpCode = https.GET();
    if (httpCode == HTTP_CODE_OK) {
      String payload = https.getString();
      Serial.println(payload);
    }
    https.end();
  }
  delete client;
}

3.4 性能优化技巧

1. 证书缓存：将证书指纹存储在Flash的PROGMEM区域

   const char fingerprint[] PROGMEM = "A1B2C3..."; // 节省RAM

2. DNS缓存：使用静态IP减少DNS查询
3. 连接复用：保持TCP连接避免重复握手
4. 数据压缩：启用服务器端gzip压缩

四、常见问题处理

4.1 握手失败排查

1. 检查系统时间是否正确（SSL证书依赖时间验证）
2. 验证指纹是否与服务器证书匹配
3. 确认网络环境是否拦截443端口
4. 降低TLS版本（不推荐生产环境使用）：

   client->setInsecure(); // 仅测试用，跳过所有验证

4.2 内存不足解决方案

1. 升级至ESP32（240KB RAM vs ESP8266的36KB）
2. 减少同时运行的task数量
3. 使用malloc()前检查内存：

   if (esp_get_free_heap_size() > 10000) {
   // 执行内存密集操作
   }

4.3 证书更新机制

建议实现证书过期预警系统：

1. 预存证书有效期截止日期
2. 每日检查系统时间
3. 有效期剩余30天时触发告警
4. 通过OTA更新指纹或证书

五、安全增强建议

1. 双向认证：在服务器配置客户端证书验证
2. HSTS策略：强制使用HTTPS连接
3. CSP策略：限制资源加载来源
4. 定期审计：每季度更新证书指纹

六、扩展应用场景

1. 设备固件更新：通过HTTPS下载安全固件包
2. 远程配置管理：加密传输设备参数
3. 日志上报系统：安全传输设备运行日志
4. 支付接口集成：连接金融级安全服务

通过本文介绍的方法，开发者可在资源受限的ESP设备上实现可靠的HTTPS通信。实际开发中需根据具体场景选择合适的安全级别，在安全性与性能之间取得平衡。对于高安全要求的场景，建议采用完整证书链验证方案并配合硬件安全模块（HSM）使用。