确保 Web 安全的 HTTPS

确保 Web 安全的 HTTPS

HTTP 的缺点

通信使用明文(不加密), 内容可能会被窃听

不验证通信方的身份, 因此有可能遭遇伪装

无法证明报文的完整性, 所以有可能已遭篡改

HTTP+ 加密 + 认证 + 完整性保护 =HTTPS

我们把添加了加密及认证机制 的 HTTP 称为 HTTPS

只是 HTTP 通信接口部分用 SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已

SSL 是独立于 HTTP 的协议,所以不光是 HTTP 协议,其他运行在应用层的 SMTP 和 Telnet 等协议均可配 合 SSL 协议使用

SSL 采用一种叫做公开密钥加密(Public-key cryptography)的加密处理方式

加密和解密都会用到密钥。没有密钥就无法对密码解密,反过来说,任何人只要持有密钥就能解密了

加密和解密同用一个密钥的方式称为共享密钥加密(Common key crypto system),也被叫做对称密钥 加密

公开密钥加密使用一对非对称的密钥。一把叫做私有密钥(private key),另一把叫做公开密钥(public key)

HTTPS 采用混合加密机制

数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密 钥证书

证明公开密钥正确性的证书