《图解HTTP》第7章确保Web安全的HTTPS 读书笔记

　　第七章：确保Web安全的HTTPS

1.在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。

2.HTTP的缺点：

　　①通信（请求报文和响应报文）使用明文（不加密），内容可能会被窃听。

　　②不验证通信方的身份，因此可能遭遇伪装。

　　③无法证明报文的完整性，所以可能已遭篡改。

3.通信过程中，即使报文经过加密也是会被看到的（和没加密一样），只是加密后有可能让人无法破解报文的含义而已。

4.通信线路的加密：HTTP协议用过SSL或TLS的组合使用，可以建立一条安全通信线路，SSL和HTTP的组合使用被称为HTTPS（超文本安全协议）。

5.通信内容的加密：客户端对实体主体内容进行加密（报文首部不用加密），然后服务器端解密主体内容。

6.任何人都可以发起请求，服务器都会返回一个响应（除了发送端的ip地址和端口号被服务器限制访问外）。

7.在HTTP协议中，客户端和服务器端都无法确认对方的身份是否真实。

8.SSL不仅能提供加密处理，还有一种被称为证书的手段，可用于确认通信双方的身份。证书由第三方机构颁发，伪造证书从技术角度来说是异常困难的一件事。

9.HTTPS = HTTP + 加密处理（对报文进行加密） + 认证机制（证书认证） + 完整性保护（防止报文被篡改）

10.公开秘钥加密技术：客户端或服务器端都有一把公开秘钥（用于加密数据，所有人都能获得），一把私有秘钥（用于解密密文，只有自己持有），发送密文的一方根据对方的公开秘钥加密数据，对方接收到密文后，用自己的私有秘钥解密。就像一个人把很多把锁公开出去，但是能开这个锁的钥匙只有自己拥有。优点是安全性高，缺点是处理速度慢

11.共享秘钥加密技术：加密和解密用同一把秘钥，秘钥必须发送给对方，但是发送的过程中可能会被攻击者窃取秘钥。优点是处理速度快，缺点是安全性低。

12.HTTPS采用共享秘钥加密和公开秘钥加密两者并用的混合加密机制，利用公开秘钥加密的方式发送共享秘钥，然后后续使用共享秘钥加密即可。但是在公开秘钥发送的过程中，有可能会被攻击者替换掉。

13.为确保公开秘钥的真实性，可以通过数字证书认证机构，对公开秘钥做数字签名，并将公开秘钥放入公钥证书后绑定在一起。

14.接收到证书的客户端需要使用数字证书认证机构的公开秘钥，对公钥证书进行验证，验证通过的话，可以确认两件事：一是数字证书认证机构是真实的，二是公钥证书内的公开秘钥也是真实的。

15.至于数字证书认证机构的公开秘钥，通常是内置在浏览器里。

16.购买证书要给钱。