这是我参与2022首次更文挑战的第26天,活动详情查看:2022首次更文挑战
HTTP+ 加密 + 认证 + 完整性保护 =HTTPS
HTTP 加上加密处理和认证以及完整性保护后即是 HTTPS
如果在 HTTP 协议通信过程中使用未经加密的明文,比如在 Web 页面中输入支付密码,如果这条通信线路遭到窃听,那么支付密码就暴露了。
另外,对于 HTTP 来说,服务器也好,客户端也好,都是没有办法确认通信方的。
因为很有可能并不是和原本预想的通信方在实际通信。并且还需要考虑到接收到的报文在通信途中已经遭到篡改这一可能性。
为了解决这些问题,需要在 HTTP 上再加入加密处理和认证等机制。 这里有张比较的图
| http | https |
|---|---|
| HTTP | HTTP |
| TCP | SSL or TLS |
| IP | TCP |
| IP |
经常会在 Web 的登录页面和购物结算界面等使用 HTTPS 通信。使用 HTTPS 通信时,不再用 http://,而是改用 https://。另外,当浏览器访问 HTTPS Web网站时,浏览器的地址栏内会出现一个带锁的标记
在采用 SSL 后,HTTP 就拥有了 HTTPS 的加密、证书和完整性保护这些功能。SSL 是独立于 HTTP 的协议,所以不光是 HTTP 协议,其他运行在应用层的 SMTP和 Telnet 等协议均可配合 SSL 协议使用。
相互交换密钥的公开密钥加密技术
近代的加密方法中加密算法是公开的,而密钥却是保密的。通过这种方式得以保持加密方法的安全性。
加密和解密都会用到密钥。没有密钥就无法对密码解密,反过来说,任何人只要持有密钥就能解密了。如果密钥被攻击者获得,那加密也就失去了意义。
HTTPS 采用混合加密机制
HTTPS 采用 共享密钥加密和 公开密钥加密两者并用的 混合加密机制。
但是公开密钥加密与共享密钥加密相比,其处理速度要慢。所以应充分利用两者各自的优势,将多种方法组合起来用于通信。在交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段则使用共享密钥加密方式。
