确保 Web 安全的HTTPS
1》HTTP 的缺点
通信使用明文可能会被窃听:
【1】TCP/IP 是可能被窃听的网络
【2】加密处理防止被窃听:
*通信的加密:通过和 SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全层传输协议)的组合使用,加密 HTTP 的通信内容
用 SSL 建立安全通信线路之后,就可以在这条线路上进行 HTTP通信了。与 SSL 组合使用的 HTTP 被称为 HTTPS(HTTPSecure,超文本传输安全协议)或 HTTP over SSL
*内容的加密
【3】不验证通信方的身份就可能遭遇伪装
*任何人都可发起请求
*查明对手的证书:
【4】无法证明报文完整性,可能已遭篡改
*接收到的内容可能有误
2》HTTP+ 加密 + 认证 + 完整性保护=HTTPS
【1】HTTP 加上加密处理和认证以及完整性保护后即是HTTPS
【2】HTTPS 是身披 SSL 外壳的 HTTP
【3】相互交换密钥的公开密钥加密技术
SSL 采用一种叫做公开密钥加密(Public-key cryptography)的加密处理方式
有三种密钥加密的方式:
*共享密钥加密的困境
*使用两把密钥的公开密钥加密
*HTTPS 采用混合加密机制
【5】证明公开密钥正确性的证书
只有加密的HTTP通讯还是不安全的,所以这里引入了证书
【5】HTTPS 的安全通信机制
HTTPS 的通信步骤:
