什么是http协议?
服务器其实也是一台电脑,我们在客户端发送请求,服务器返回数据。在一条通信上,很有用可能两台电脑的角色互换。http就是区分哪一台是服务器,哪一台是客户端。协议规定,请求是从客户端发出,响应的一方就是服务端。
为什么现在都在使用https?
http协议存在的问题:通信使用明文(不加密),内容可能会被窃听
不验证通信方的身份,因此有可能遭遇伪装
无法证明报文的完整性,所以有可能已经被篡改
以上这样的问题在别的协议也是可能出现的。
按照TCP/IP协议来看,就是说在整个通信的过程中,不排除别人恶意窃听数据。当然,加密之后依然可以被窃取到,只是窃取之后的数据都是加密过的,并不容易直接读取内容。
1 通信加密:http协议没有加密机制,但可以通过SSL(安全套接层)或者TLS(安全层传输协议)组合使用。
用SSL建立安全通信线路之后,就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP被称为HTTPS或者HTTP over SSL。
2 内容的加密
由于HTTP协议没有加密机制,那么就对HTTP协议传输的内容本身加密,就是将HTTP报文所包含的内容全部加密。(需要客户端和服务同时具有加密和解密的功能)。这种加密方式存在风险。
不验证通信方的身份
会存在不确定是否发送方中的URL就是真正的主机,返回响应的是否真的是提出请求的客户端。
1 使用SSL也可以解决这个问题。SSL提供了一种方法,可以鉴别证书的存在。伪造证书在技术上来讲是非常困难的。
无法证明报文的完整性
所谓的完整性就是报文的精确度
1 就是指在通信的过程中,如果有人篡改了信息,也无法确认信息的准确性。常用的校验方法就是MD5和SHA-1等方法。如果MD5被改写,客户端也无法确认信息的完整性。所以有必要使用HTTPS。
到底什么是HTTPS?
HTTP + 加密 + 认证 + 完整性保护 = HTTPS
什么是SSL?
首先SSL采用了一种公开密钥加密的处理方法。存在的问题就是加密和解密都需要密钥,密钥可能存在被攻击者获得。加密就会失去意义。
于是提出了公开加密的方法。
