其他分享
首页 > 其他分享> > 六. HTTPS确保Web安全

六. HTTPS确保Web安全

作者:互联网

六. HTTPS确保Web安全

1. HTTP的缺点

  1. 通信使用明文,内容可能会被盗取;
    互连网中使用TCP/IP协议族进行通信的过程中会经过非常多的通信载体(网关、路由器等),而这些主机并不可能完全是私人的,所以可能某个环节遭到恶意窥视(抓包)。当然密文也会,只是不会被破解。
    在这里插入图片描述
    可以通过加密的方式来规避这个问题:
    1)通信加密
    使用HTTP和SSL(安全套接层)组合建立安全通信线路,这被称为HTTPS;
    在这里插入图片描述
    2)内容的加密
    将HTTP报文里的内容进行加密:
    在这里插入图片描述
  2. 不验证通信方的身份,可能会遭遇伪装;
    使用HTTP通信时,任何人都能发起请求,在服务器没有设定访问限制的前提下,不管对方是谁都会响应;
    SSL也提供了被称为证书的手段,来确认对方身份;证书由可信任的第三方颁布,只要确认通信方的证书就能判断对方的真实意图;而伪造证书是异常艰难的事情。
    在这里插入图片描述
  3. 无法证明报文的准确度,可能会遭到篡改。
    在这里插入图片描述
    像这样,请求或响应在传输途中被篡改的攻击称为中间人攻击。避免此问题最常用的是MD5和SHA-1等散列值校验的方法,以及数字签名。

2. HTTP + 加密 + 认证 + 完整性保护 = HTTPS
在这里插入图片描述
HTTPS其实是身披SSL协议外壳的HTTP,采用SSL之后HTTP就拥有了加密、证书、完整性保护这些功能。
在这里插入图片描述
SSL是一个独立的协议,可以与在应用层的SMTP、Telnet等协议配合使用,它是当今应用最广泛的网络安全技术。

1)HTTPS使用混合加密机制

混合加密即是共享密匙加密和公开密匙加密共用:
在这里插入图片描述
如果不知道共享密匙加密和公开密匙加密是什么,可以看我的另一篇文章,附上链接:https://editor.csdn.net/md/?articleId=118246295

2)证明公开密匙正确性的证书

有一个问题,怎么证明我得到的公开密匙是货真价实的?
在这里插入图片描述
3)EV SSL证书可证明组织真实性

EV SSL证书可以证明对方服务器背后运行的企业是否真实存在,持有此证书的Web网站的浏览器的地址栏处是绿色的。

4)说明

本文为《图解HTTP》读书笔记,如有错误,还请兄弟们指正,大家一起进步。

标签:Web,HTTP,证书,密匙,SSL,确保,HTTPS,加密
来源: https://blog.csdn.net/weixin_50260670/article/details/119054700