《圖解HTTP》確保web安全的https

1、HTTP的缺點

　　通訊使用文明可能會被竊聽

　　不驗證通訊放的身份就可能遭遇假裝

　　沒法證實報文完整性，可能已遭篡改

一、通訊使用文明可能會被竊聽

　　HTTP不具有加密功能，使用明文方式發送

　　TCP/IP是可能被監聽的網絡，互聯網上的任何角落都存在通訊內容被竊聽的風險

　　加密處理防止被竊聽：

　　　　通訊的加密：使用SSL和TLS的組合，加密HTTP通訊內容

　　　　內容的加密：要求客戶端和服務器具備加密、解密的功能

二、不驗證通訊放的身份就可能遭遇假裝

　　任何人均可發起請求的隱患：

　　　　沒法確認響應服務器是否真實（有多是假裝的）

　　　　沒法確認發送請求的客戶端是否真實（有多是假裝的）

　　　　沒法確認通訊對方是否有權限。

　　　　沒法確認請求來自哪裏

　　　　沒法阻止海量請求的Dos攻擊

　　查明對手的證書：SSL不只提供加密處理，還使用證書的手段

三、沒法證實報文完整性，可能已遭篡改

　　收的內容可能有誤

　　請求或響應遭到篡改，也沒法知道

2、HTTP+加密+認證+完整性保護=HTTPS

一、HTTP加上加密處理和認證以及完整性保護後即時HTTPS

　　HTTPS瀏覽器會自動加一個鎖的標識

二、HTTPS是身披SSL外殼的HTTP

　　http通訊接口用戶SSL和TLS協議代替（以前是：HTTP和TCP通訊，如今是：HTTP和SSL通訊，而後SSL再和TCP通訊）

三、相互交換密鑰的公開密鑰加密技術

　　SSL：公開密鑰加密（有了密鑰才能解密）

　　共享密鑰加密：對稱加密，加密和解密是一個密鑰

　　公開密鑰加密：非對稱加密（公鑰+私鑰）公鑰加密，私鑰解密，

　　HTTPS採用混合加密：先公開加密傳達共享密鑰（安全），而後共享加密（提升通訊速度）

四、證實公開密鑰正確性的證書

　　公開密鑰證書被替換

　　可證實組織性的EVSSL證書：（綠色圖標）目的防止用戶被釣魚攻擊

　　用以確認客戶端的客戶端證書：用戶需自行安裝（如：網銀）

　　能夠僞造數字簽名證書

　　自簽名證書：本身頒給本身服務器的證書 

五、HTTPS的安全通訊機制

　　缺點：

　　　　SSL，通訊慢，大量消耗CPU。（進行SSL通訊、加密處理）

　　　　購買證書開銷大