http主要又如下幾點不足:
http+加密+認證+完整性保護=https
https並非是應用層的一種新協議,只是http通訊介面部分用ssl(secure socket layer)和tls(transport layer security)協議代替而已。https其實就是身披ssl協議這層外殼的http。
ssl採用一種叫做公開金鑰加密的加密處理方式。
加密和解密都會用到金鑰。沒有金鑰就無法對密碼解密,反過來說,任何人只要持有金鑰就能解密了。
無法證明公開金鑰本事是否是貨真價實的公開金鑰也不行,因為公開金鑰在傳輸途中,可能已經被攻擊者給替換掉了。
為了解決上述問題,可以使用由數字證書認證機構(ca,centificate authority)和其相關機關頒發的公開金鑰證書。
數字證書認證機構的業務流程:
1)伺服器的運營人員向數字證書認證機構提出公開金鑰的申請
2)數字證書認證機構在判明提出申請者的身份之後,會對已申請的公開金鑰做數字簽名
3) 分配已簽名的公開金鑰並將其放入公鑰證書後繫結在一起
4)伺服器會將這份由數字證書認證機構頒發的公鑰證書傳送給客戶端,以進行公開金鑰方式通訊。
5)接到證書的客戶端可使用數字證書認證機構的公開金鑰,對那張證書上的數字簽名進行驗證
https存在一些問題,當使用ssl時,它的處理速度會變慢。
ssl的慢分兩種。一種是指通訊慢。另一種是指由於大量消耗cpu及記憶體等資源,導致處理速度慢。
與純文字通訊相比,加密通訊會消耗更多的cpu及記憶體資源。如果每次通訊都加密,會消耗相當多的資源。
所以,如果是非敏感資訊則使用http通訊,只有在包含個人資訊等敏感資料時,才利用https加密通訊。
確保Web安全的HTTPS
證明身份 無法證明報文的完整性 證明公開金鑰正確性地證書 按tcp ip協議族的工作機制,通訊內容在所有的通訊線路上都有可能遭到窺視.為防止竊聽並保護資訊,有如下幾種加密方式 通訊加密 http協議沒有加密機制,但可以通過ssl或tls的組合使用,加密http通訊內容.與ssl組合使用的http被稱...
確保Web安全的HTTPS
1 通訊使用明文 不加密 內容有可能會被竊聽。1 通訊的加密 http協議中沒有加密機制,但可以通過和ssl 安全套接層 或tls 安全傳輸層協議 的組合使用,加密http的通訊內容。與ssl組合使用的http被稱為https 超文字傳輸安全協議 2 內容的加密 把http報文裡含有的內容進行加密處...
HTTP 確保Web安全的HTTPS
一.http的缺點 1.通訊使用明文 不加密 內容有可能會被竊聽 網際網路上任意角落都有可能存在通訊內容被竊聽的風險 1.1通訊的加密 http協議中沒有加密機制,但可以通過和ssl secue socket layer安全套接層 或tls transport layer security 安全傳輸...