《图解HTTP》-第七章-确保Web安全的HTTPS

每天做个总结吧，坚持就是胜利！

    /**
        @date 2021-06-30
        @description 《图解HTTP》-第七章-确保Web安全的HTTPS
    */

壹（序）

1. HTTP协议可能存在信息窃取和身份伪造等安全问题，使用HTTPS协议可以有效的防止
2. HTTP的缺点

a. 通信使用明文，内容可能会被窃取
b. 不验证通信方的身份，可能遭遇身份伪造
c. 不能验证报文的完整性，可能报文已经被篡改

3. 即使通信经过加密处理，也是会被窃取通信内容，只是可能让人无法破解报文信息的含义
4. 加密处理防止被窃听有两种方式

a. 对通信的加密，HTTP与SSL或TLS组合使用来加密通信内容
b. 对HTTP协议传输的内容加密

5. HTTP协议中的请求和响应不会对通信方进行确认，就会存在服务器是否就是发送请求中的URI真正指定的主机，以及返回的响应是否真的返回到实际发送请求的客户端
6. SSL不仅可以加密处理，还可以使用证书来确定服务器和客户端是真实存在的

7. 信息的完整性就是指信息的准确度，无法证明完整性则意味着无法判断信息是否准确，即无法判断发送的请求或响应与接收到的请求或响应是前后相同的 8. HTTP加上加密处理和认证和完整性验证后就是HTTPS，HTTPS并不是应用层的一种新的协议，只是HTTP直接与TCP通信，加上SSL后，HTTP先与SSL通信，再由SSL与TCP通信

9. 共享密钥加密：加密和解密用同一个密钥，也叫对称密钥加密，无法安全的转交密钥给对方 10. 公开密钥加密：使用一对非对称的密钥，一把私有密钥，一把公开密钥；发送密文的一方使用对方的公开密钥进行加密，对方接收到密文后，使用自己的私有密钥进行解密

11. HTTPS使用共享密钥加密与公开密钥加密并用的混合加密机制，交换密钥的环节使用公开密钥加密，确保安全后，使用共享密钥加密

12. 公开密钥加密存在的问题：无法确定公开密钥本身就是真正的公开密钥，所以需要由数字证书认证机构（CA-Certificate Authority）和其相关机关颁发的证书 13. HTTPS存在的问题：

a. 使用SSL时，处理速度会变慢，一种是通信慢，一种是消耗大量CPU及内存等资源导致处理慢
b. 要进行HTTPS通信，证书是必不可少的，而证书需要购买，产生一定的费用