http的缺點在於:
沒有對資訊進行加密處理,通過網路監聽可以得到網路中傳輸的資料,這樣就沒有資訊保安了。
http也沒有對**的真實性進行認證,這使得**的真實性存在疑問。
通過ssl,對傳輸中的資訊進行加密和對**進行認證管理,就能基本上保證資訊的安全了和**的真實性。
首先服務端通過向ca機構申請認證得到自己的公鑰私鑰(公鑰私鑰是非對稱加密的內容)
客戶端傳送請求到達服務端
服務端此時會把自己的證書(其中包括公鑰)發往客戶端,
客戶端作業系統或是瀏覽器本身會攜帶一些根證書,通過根證書驗證服務端的證書是否正確(這個過程有點類似dns的解析過程)
如果正確,客戶端把要發往服務端的資訊(其中包括下一次會話要使用的對稱加密鑰匙)使用用服務端上一步發過來的公鑰加密,然後發往服務端
服務端使用自己的私鑰解密,得到客戶端發過來的要進行下一次加密的鑰匙,以後的會話使用對稱加密的方式即可保證資訊傳輸的安全性。
需要說明的是,https在一定程度上能保證安全性,但是並不能絕對的安全。在這一方面的潛在問題有:
各個版本的https協議的缺陷
掌握ssl認證的機構是否會出現監守自盜的問題
這也說明了資訊保安行業是乙個魔高一尺道高一丈的行業,只有不斷提高系統被hack的代價,才能保證資訊的安全。
這個是乙個簡單的理解,不作為深入的了解指導。後續會更新。
https簡單理解
概念 https全稱為hyper text transfer protocol over securesocket layer,是以安全為目標的http協議,它在http的基礎上,在應用層新增了ssl tls,保證傳輸內容的私密性,常用於支付交易等環節。除了ssl層的新增,ca中心的認證是也是htt...
https協議的簡單理解
本片文章梳理三個知識點 1.對稱加密和非對稱加密的區別 2.https協議的請求流程 3.http協議和https協議的區別 一.對稱加密和非對稱加密 對稱加密 加密和解密使用同一金鑰。非對稱加密 有公鑰和私鑰,一般使用公鑰進行加密,使用私鑰進行解密。二.https協議的請求流程 簡要說明 http...
簡單理解HTTP和HTTPS
https特點 http與https的區別 什麼是http協議無狀態協議?怎麼解決http協議無狀態協議?常見的http相應狀態碼 運用與總結 超文字傳輸協議,是乙個基於請求與響應,無狀態的,應用層的協議,常基於tcp ip協議傳輸資料,網際網路上應用最為廣泛的一種網路協議,所有的www檔案都必須遵...