第七章、確保WEB安全的HTTPS
HTTP的缺點：
通信使用明文（不加密），內容可能會被竊聽
解決---加密處理：
　　//將通信加密 :通過SSL（安全套接層）---HTTPS(超文本傳輸安全協議)---|TLS（安全傳輸層協議）
　　//將內容加密：對HTTP報文內容加密處理
　　　　不驗證通信方的身份，可能遭遇偽裝
　　//查明對手的證書完成個人身份確認
　　　　無法證明報文的完整性，可能遭遇篡改
　　//請求或響應在傳輸過程中被篡改稱為中間人攻擊
　　　　解決：散列值校驗（MD5<單項函數生成的散列值>|SHA-1等）| 確認以PGD創建的文件的數字簽名方法
//以上解決方法需要用戶親自檢查確認，瀏覽器無法自動檢查。

HTTPS=HTTP+加密+認證+完整性保護
HTTPS不是一種新協議，而是HTTP通信接口部分用SSL和TLS協議代替了。
HTTP通常直接和TCP通信，而HTTPS先和SSL通信，再由SSL和TCP通信（SSL是獨立於HTTP的網絡安全協議）

SSL加密方法：相互交換密鑰的公開密鑰加密技術
　　//共享密鑰加密|對稱密鑰加密---加密解密共用一個密鑰
　　//公開密鑰加密（復雜，效率低）---使用兩把非對稱的密鑰，即公開密鑰（加密）以及私有密鑰（解密）
　　//混合加密方式（HTTPS）---在交換密鑰時使用公開密鑰加密方式，之後建立通信交換報文階段使用共享密鑰加密方式

證明公開密鑰正確性的證書：（由CA-數字證書認證機構或其他相關機構頒發的證書）
　　//EV SSL證書：證明組織真實性
　　//客戶端證書：確認客戶端
　　//自認證機構（獨自構建的認證機構）頒發的自簽名證書
　　//中級認證機構頒發的證書---有些瀏覽器會認為正規，有些認為是自認證證書
P157-166略

《圖解HTTP》閱讀筆記--第七章---確保WEB安全的HTTPS