1.ssl和http关系?
SSL=Secure Socket Layer(安全套接层)
与ssl组合使用的http被称为https(超文本传输安全协议)== http+加密+认证+完整性保护
2.为了解决http的什么问题?
http的主要缺点
- 通信使用明文(不加密),内容可能会被窃听
- 不验证通信方的身份,因此有可能遭遇伪装
- 无法证明报文的完整性,所以有可能遭篡改
3.加密的方式
通信的加密
http没有加密的机制,所以使用ssl或者tls(transport layer security,安全传输层协议)的组合使用加密http的通信内容。
用ssl建立安全的通信线路后,就可以在这条线路上进行http通信了。内容的加密
将通信的内容本身加密
4.https工作原理
http先和ssl建立通信,然后ssl与tcp通信
加密方式
| 加密方式 | 方法 | 缺点 | 场景 |
|---|---|---|---|
| 共享密钥-对称加密 | 使用一个密钥加解密 | 容易被人获取要密钥后破解 | 内容加密 |
| 公开密钥-非对称加密 | 下发公开密钥,通信时使用公开密钥加密,对方接收后用私有密钥解密 | 比共享密钥慢 | 通信层加密 |
| https采用混合加密机制 | 使用共享和公开密钥并用的混合加密机制,交换密钥环节使用公开密钥方式,之后的建立通信交换报文阶段使用共享密钥方式 |
读后感笔记来自【日】上野宣的《图解HTTP》第7章 确保Web安全的HTTPS
