一、HTTP的缺点
通信使用文明可能会被窃听
不验证通信放的身份就可能遭遇伪装
无法证明报文完整性,可能已遭篡改
1、通信使用文明可能会被窃听
HTTP不具备加密功能,使用明文方式发送
TCP/IP是可能被监听的网络,互联网上的任何角落都存在通信内容被窃听的风险
加密处理防止被窃听:
通信的加密:使用SSL和TLS的组合,加密HTTP通信内容
内容的加密:要求客户端和服务器具有加密、解密的功能
2、不验证通信放的身份就可能遭遇伪装
任何人都可发起请求的隐患:
无法确认响应服务器是否真实(有可能是伪装的)
无法确认发送请求的客户端是否真实(有可能是伪装的)
无法确认通信对方是否有权限。
无法确认请求来自哪里
无法阻止海量请求的Dos攻击
查明对手的证书:SSL不仅提供加密处理,还使用证书的手段
3、无法证明报文完整性,可能已遭篡改
收的内容可能有误
请求或响应遭到篡改,也无法知道
二、HTTP+加密+认证+完整性保护=HTTPS
1、HTTP加上加密处理和认证以及完整性保护后即时HTTPS
HTTPS浏览器会自动加一个锁的标识
2、HTTPS是身披SSL外壳的HTTP
http通信接口用户SSL和TLS协议代替(之前是:HTTP和TCP通信,现在是:HTTP和SSL通信,然后SSL再和TCP通信)
3、相互交换密钥的公开密钥加密技术
SSL:公开密钥加密(有了密钥才能解密)
共享密钥加密:对称加密,加密和解密是一个密钥
公开密钥加密:非对称加密(公钥+私钥)公钥加密,私钥解密,
HTTPS采用混合加密:先公开加密传达共享密钥(安全),然后共享加密(提高通信速度)
4、证明公开密钥正确性的证书
公开密钥证书被替换
可证明组织性的EVSSL证书:(绿色图标)目的防止用户被钓鱼攻击
用以确认客户端的客户端证书:用户需自行安装(如:网银)
可以伪造数字签名证书
自签名证书:自己颁给自己服务器的证书
5、HTTPS的安全通信机制
缺点:
SSL,通信慢,大量消耗CPU。(进行SSL通信、加密处理)
购买证书开销大