读
第四章《确保Web安全的HTTPS》
总结
1:HTTP 缺点?
- 明文通讯(也是最受诟病的一个缺点)
- 不验证对方的身份(你说你是你?你怎么证明你是你呢?)
- 无法验证报文的完整性,可能已经被篡改(在挨打的边缘,来回试探)
2:HTTPS概述
- HTTPS 是身披 SSL(采用非对称加密方式) 外壳的 HTTP
3:HTTPS通信步骤
- 客户端发起 HTTPS 请求至服务端。
- 服务端接收到请求,响应带有[公钥+颁发机构+过期时间等]的证书返回给客户端。
- 客户端解析证书-验证信息是否有效-没问题之后,客户端生成一个随机值并使用公钥加密[这样S-C]就可以通过这个值来进行加密解密
- 服务端使用私钥解密随机值
- 之后通过对称加密算法实现加密
4:HTTPS 缺点
- 慢
- 比 HTTP 慢 2~100 倍
- why?
- 多余的网络负载和网络IO
- 加密/解密 算法导致CUP负荷
- 贵/花钱