《图解HTTP》确保web安全的https

一、HTTP的缺点

　　通信使用文明可能会被窃听

　　不验证通信放的身份就可能遭遇伪装

　　无法证明报文完整性，可能已遭篡改

1、通信使用文明可能会被窃听

　　HTTP不具备加密功能，使用明文方式发送

　　TCP/IP是可能被监听的网络，互联网上的任何角落都存在通信内容被窃听的风险

　　加密处理防止被窃听：

　　　　通信的加密：使用SSL和TLS的组合，加密HTTP通信内容

　　　　内容的加密：要求客户端和服务器具有加密、解密的功能

2、不验证通信放的身份就可能遭遇伪装

　　任何人都可发起请求的隐患：

　　　　无法确认响应服务器是否真实（有可能是伪装的）

　　　　无法确认发送请求的客户端是否真实（有可能是伪装的）

　　　　无法确认通信对方是否有权限。

　　　　无法确认请求来自哪里

　　　　无法阻止海量请求的Dos攻击

　　查明对手的证书：SSL不仅提供加密处理，还使用证书的手段

3、无法证明报文完整性，可能已遭篡改

　　收的内容可能有误

　　请求或响应遭到篡改，也无法知道

二、HTTP+加密+认证+完整性保护=HTTPS

1、HTTP加上加密处理和认证以及完整性保护后即时HTTPS

　　HTTPS浏览器会自动加一个锁的标识

2、HTTPS是身披SSL外壳的HTTP

　　http通信接口用户SSL和TLS协议代替（之前是：HTTP和TCP通信，现在是：HTTP和SSL通信，然后SSL再和TCP通信）

3、相互交换密钥的公开密钥加密技术

　　SSL：公开密钥加密（有了密钥才能解密）

　　共享密钥加密：对称加密，加密和解密是一个密钥

　　公开密钥加密：非对称加密（公钥+私钥）公钥加密，私钥解密，

　　HTTPS采用混合加密：先公开加密传达共享密钥（安全），然后共享加密（提高通信速度）

4、证明公开密钥正确性的证书

　　公开密钥证书被替换

　　可证明组织性的EVSSL证书：（绿色图标）目的防止用户被钓鱼攻击

　　用以确认客户端的客户端证书：用户需自行安装（如：网银）

　　可以伪造数字签名证书

　　自签名证书：自己颁给自己服务器的证书 

5、HTTPS的安全通信机制

　　缺点：

　　　　SSL，通信慢，大量消耗CPU。（进行SSL通信、加密处理）

　　　　购买证书开销大