《圖解HTTP》閱讀筆記--第七章---確保WEB安全的HTTPS
第七章、確保WEB安全的HTTPS
HTTP的缺點:
通信使用明文(不加密),內容可能會被竊聽
解決---加密處理:
//將通信加密 :通過SSL(安全套接層)---HTTPS(超文本傳輸安全協議)---|TLS(安全傳輸層協議)
//將內容加密:對HTTP報文內容加密處理
不驗證通信方的身份,可能遭遇偽裝
//查明對手的證書完成個人身份確認
無法證明報文的完整性,可能遭遇篡改
//請求或響應在傳輸過程中被篡改稱為中間人攻擊
解決:散列值校驗(MD5<單項函數生成的散列值>|SHA-1等)| 確認以PGD創建的文件的數字簽名方法
//以上解決方法需要用戶親自檢查確認,瀏覽器無法自動檢查。
HTTPS=HTTP+加密+認證+完整性保護
HTTPS不是一種新協議,而是HTTP通信接口部分用SSL和TLS協議代替了。
HTTP通常直接和TCP通信,而HTTPS先和SSL通信,再由SSL和TCP通信(SSL是獨立於HTTP的網絡安全協議)
SSL加密方法:相互交換密鑰的公開密鑰加密技術
//共享密鑰加密|對稱密鑰加密---加密解密共用一個密鑰
//公開密鑰加密(復雜,效率低)---使用兩把非對稱的密鑰,即公開密鑰(加密)以及私有密鑰(解密)
//混合加密方式(HTTPS)---在交換密鑰時使用公開密鑰加密方式,之後建立通信交換報文階段使用共享密鑰加密方式
證明公開密鑰正確性的證書:(由CA-數字證書認證機構或其他相關機構頒發的證書)
//EV SSL證書:證明組織真實性
//客戶端證書:確認客戶端
//自認證機構(獨自構建的認證機構)頒發的自簽名證書
//中級認證機構頒發的證書---有些瀏覽器會認為正規,有些認為是自認證證書
P157-166略
《圖解HTTP》閱讀筆記--第七章---確保WEB安全的HTTPS