【图书笔记】图解HTTP第七章收获

HTTPS

• HTTPS并非应用层的一种新协议，只是HTTP通信结果口部分用SSL和TLS协议代替。通常HTTP直接和TCP通信，当用SSL时，则变成先和SSL通信，再由SSL和TCP通信。
• 我们一般加解密需要有密钥，传统加密方式只要密钥被人偷了就能破解。这种加密方式一般叫做共享密钥加密，我看有些资料叫对称加密。
• 有种加密方式叫非对称加密或者叫公开密钥加密。它是把私钥自己保管，公钥发给别人，对方使用公钥加密，自己用私钥解密。有人可能不懂什么公钥私钥，简单说，大家都知道MD5这种摘要算法，我们用MD5加密后一般是无法解密的，这就像我们拿公钥加密后我们没法进行解密。但是服务器凭借私钥是可以解密的。就像MD5通过暴力对比是可以解出来的，服务器的私钥就像MD5保存的一张密码表一样。但实际非对称加密的原理不是摘要算法，而是通过因式分解。所以私钥加密的内容公钥是可以解密的。
• 公开密钥加密速度很慢而共享密钥加密很快，所以一般采取混合使用的方式，先利用公开密钥加密让客户端拿到共享密钥的密钥，后续通信就通过共享密钥进行。
• 但是客户端没法证明公钥的真伪，如果有人拿到服务器公钥，然后发送给客户端自己的公钥，后续内容即可被篡改。于是会有证书存在。服务器的公钥会给机构一份，机构会用自己私钥加密，然后会发公钥证书。服务器再把这些给客户端，客户端收到证书后会用机构公钥解密证书上内容，看是不是和发来公钥一致，从而确定公钥真伪。
• 但另一个问题是机构公钥不一定是真的，这就像鸡生蛋蛋生鸡一样总有漏洞。一般浏览器是内置机构公钥，所以公钥一开始客户端就有了。
• 事实上每个人都可以通过openSSL构建自己的认证机构，给自己颁服务器证书。一般这种证书没什么用，戏称“自签名证书”。浏览器访问时，就会提示该网站安全证书存在问题。
• 有一小部分浏览器会植入中级认证机构的证书，有些浏览器会把中级认证机构证书当自签名证书对待。

总结

• 这一章收获很多，特别时对HTTPS有了更深了解。不过书上写的也不算细，具体细节方面并不是特别清楚。