确保Web安全的HTTPS
HTTP的不安全性
- http没有加密措施,不能对通信路线和内容加密
- http没有身份认证措施
- http没有报文完整性校验措施
HTTPS的安全性
- https是http套上了SSL外壳,SSL支持通信线路加密
- SSL支持身份认证识别和报文完整性校验
HTTPS的加密方式
- https是通过公钥和私钥的加密方式,不对称加密
- 客户端和服务端有各自的公钥和私钥,并且私钥可以解开公钥加密内容
- 客户端和服务端将公钥发送给对方,用于加密报文
- 由于公钥可能被窃取,所以公钥由可靠的第三方机构发放,包含公钥和公钥证书
SSL和TLS协议
- SSL是TLS协议的原型,在SSL基础上设计出TLS协议
- 现在使用的是SSL3.0和TLS1.0协议
- HTTPS使用的是SSL3.0和TLS1.0协议
HTTPS协议的缺点
- HTTPS通信慢
- 通信报文的体量比http大
- 客户端和服务端要对报文进行加密和解密操作,对cpu和内存消耗大
- 非必要情况下不用https协议
