HTTP基础知识(3)--HTTPS

一，HTTP的缺点：
1，通信使用明文（不加密），内容可能会被窃听。
2，不验证通信方的身份，因此有可能遭遇伪装。
3，无法证明报文的完整性，所以有可能已遭篡改。
二，HTTP+加密+认证+完整性保护=HTTPS
HTTPS并非是应用层的一种新的协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。
通常，HTTP直接和TCP通信。当使用SSL时，则先和SSL通信，再由SSL和TCP通信。其实HTTPS就是身披SSL协议的HTTP.
三，HTTPS的加密方式（采用混合加密机制）

四，如何保证公钥是有效的
在第 2步时服务器发送了一个SSL证书给客户端，SSL 证书中包含的具体内容有：
（1）证书的发布机构CA
（2）证书的有效期
（3）公钥
（4）证书所有者
（5）签名
客户端在接受到服务端发来的SSL证书时，会对证书的真伪进行校验，以浏览器为例说明如下：
（1）首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
（2）浏览器开始查找已内置的受信任的证书发布机构CA，与服务器发来的证书中的颁发者CA比对，用于校验证书是否为合法机构颁发
（3）如果找不到，浏览器就会报错，说明服务器发来的证书是不可信任的。
（4）如果找到，那么浏览器就会取出已内置 颁发者CA 的公钥，然后对服务器发来的证书里面的签名进行解密
（5）浏览器使用相同的hash算法计算出服务器发来的证书的hash值，将这个计算的hash值与证书中签名做对比。