《图解HTTP》确保web安全的https

1、HTTP的缺点

　　通讯使用文明可能会被窃听

　　不验证通讯放的身份就可能遭遇假装

　　没法证实报文完整性，可能已遭篡改

一、通讯使用文明可能会被窃听

　　HTTP不具有加密功能，使用明文方式发送

　　TCP/IP是可能被监听的网络，互联网上的任何角落都存在通讯内容被窃听的风险

　　加密处理防止被窃听：

　　　　通讯的加密：使用SSL和TLS的组合，加密HTTP通讯内容

　　　　内容的加密：要求客户端和服务器具备加密、解密的功能

二、不验证通讯放的身份就可能遭遇假装

　　任何人均可发起请求的隐患：

　　　　没法确认响应服务器是否真实（有多是假装的）

　　　　没法确认发送请求的客户端是否真实（有多是假装的）

　　　　没法确认通讯对方是否有权限。

　　　　没法确认请求来自哪里

　　　　没法阻止海量请求的Dos攻击

　　查明对手的证书：SSL不只提供加密处理，还使用证书的手段

三、没法证实报文完整性，可能已遭篡改

　　收的内容可能有误

　　请求或响应遭到篡改，也没法知道

2、HTTP+加密+认证+完整性保护=HTTPS

一、HTTP加上加密处理和认证以及完整性保护后即时HTTPS

　　HTTPS浏览器会自动加一个锁的标识

二、HTTPS是身披SSL外壳的HTTP

　　http通讯接口用户SSL和TLS协议代替（以前是：HTTP和TCP通讯，如今是：HTTP和SSL通讯，而后SSL再和TCP通讯）

三、相互交换密钥的公开密钥加密技术

　　SSL：公开密钥加密（有了密钥才能解密）

　　共享密钥加密：对称加密，加密和解密是一个密钥

　　公开密钥加密：非对称加密（公钥+私钥）公钥加密，私钥解密，

　　HTTPS采用混合加密：先公开加密传达共享密钥（安全），而后共享加密（提升通讯速度）

四、证实公开密钥正确性的证书

　　公开密钥证书被替换

　　可证实组织性的EVSSL证书：（绿色图标）目的防止用户被钓鱼攻击

　　用以确认客户端的客户端证书：用户需自行安装（如：网银）

　　能够伪造数字签名证书

　　自签名证书：本身颁给本身服务器的证书 

五、HTTPS的安全通讯机制

　　缺点：

　　　　SSL，通讯慢，大量消耗CPU。（进行SSL通讯、加密处理）

　　　　购买证书开销大