第七章、确保WEB安全的HTTPS
HTTP的缺点:
通信使用明文(不加密),内容可能会被窃听
解决---加密处理:
//将通信加密 :通过SSL(安全套接层)---HTTPS(超文本传输安全协议)---|TLS(安全传输层协议)
//将内容加密:对HTTP报文内容加密处理
不验证通信方的身份,可能遭遇伪装
//查明对手的证书完成个人身份确认
无法证明报文的完整性,可能遭遇篡改
//请求或响应在传输过程中被篡改称为中间人攻击
解决:散列值校验(MD5<单项函数生成的散列值>|SHA-1等)| 确认以PGD创建的文件的数字签名方法
//以上解决方法需要用户亲自检查确认,浏览器无法自动检查。
HTTPS=HTTP+加密+认证+完整性保护
HTTPS不是一种新协议,而是HTTP通信接口部分用SSL和TLS协议代替了。
HTTP通常直接和TCP通信,而HTTPS先和SSL通信,再由SSL和TCP通信(SSL是独立于HTTP的网络安全协议)
SSL加密方法:相互交换密钥的公开密钥加密技术
//共享密钥加密|对称密钥加密---加密解密共用一个密钥
//公开密钥加密(复杂,效率低)---使用两把非对称的密钥,即公开密钥(加密)以及私有密钥(解密)
//混合加密方式(HTTPS)---在交换密钥时使用公开密钥加密方式,之后建立通信交换报文阶段使用共享密钥加密方式
证明公开密钥正确性的证书:(由CA-数字证书认证机构或其他相关机构颁发的证书)
//EV SSL证书:证明组织真实性
//客户端证书:确认客户端
//自认证机构(独自构建的认证机构)颁发的自签名证书
//中级认证机构颁发的证书---有些浏览器会认为正规,有些认为是自认证证书
P157-166略