六. HTTPS确保Web安全

六. HTTPS确保Web安全

1. HTTP的缺点

1. 通信使用明文，内容可能会被盗取；
   互连网中使用TCP/IP协议族进行通信的过程中会经过非常多的通信载体（网关、路由器等），而这些主机并不可能完全是私人的，所以可能某个环节遭到恶意窥视（抓包）。当然密文也会，只是不会被破解。
   
   可以通过加密的方式来规避这个问题：
   1）通信加密
   使用HTTP和SSL（安全套接层）组合建立安全通信线路，这被称为HTTPS；
   
   2）内容的加密
   将HTTP报文里的内容进行加密：
   
2. 不验证通信方的身份，可能会遭遇伪装；
   使用HTTP通信时，任何人都能发起请求，在服务器没有设定访问限制的前提下，不管对方是谁都会响应；
   SSL也提供了被称为证书的手段，来确认对方身份；证书由可信任的第三方颁布，只要确认通信方的证书就能判断对方的真实意图；而伪造证书是异常艰难的事情。
   
3. 无法证明报文的准确度，可能会遭到篡改。
   
   像这样，请求或响应在传输途中被篡改的攻击称为中间人攻击。避免此问题最常用的是MD5和SHA-1等散列值校验的方法，以及数字签名。

2. HTTP + 加密 + 认证 + 完整性保护 = HTTPS

HTTPS其实是身披SSL协议外壳的HTTP，采用SSL之后HTTP就拥有了加密、证书、完整性保护这些功能。

SSL是一个独立的协议，可以与在应用层的SMTP、Telnet等协议配合使用，它是当今应用最广泛的网络安全技术。

1）HTTPS使用混合加密机制

混合加密即是共享密匙加密和公开密匙加密共用：

如果不知道共享密匙加密和公开密匙加密是什么，可以看我的另一篇文章，附上链接：https://editor.csdn.net/md/?articleId=118246295

2）证明公开密匙正确性的证书

有一个问题，怎么证明我得到的公开密匙是货真价实的？

3）EV SSL证书可证明组织真实性

EV SSL证书可以证明对方服务器背后运行的企业是否真实存在，持有此证书的Web网站的浏览器的地址栏处是绿色的。

4）说明

本文为《图解HTTP》读书笔记，如有错误，还请兄弟们指正，大家一起进步。

标签：Web,HTTP,证书,密匙,SSL,确保,HTTPS,加密
来源： https://blog.csdn.net/weixin_50260670/article/details/119054700