前言
HTTPS包含的知识体系过于庞大,很难通过一篇文章进行介绍,本系列笔记主要基于<<HTTPS权威指南>>而做的一个读书笔记,通过阅读该书与自己的一些感悟从多个方面对HTTPS进行的总结。
关于快速入门,可以先看看:https://blog.csdn.net/eric_sunah/article/details/103144744
背景
随着互联网行业的发展,HTTP协议的因其轻便简单而收到广泛的应用,然而由于其都是基于TCP协议进行明文传输,所以安全问题可以说是HTTP协议最大的一大的短板,总结而言,HTTP的安全问题主要包含以下几个方面:
- 可窃听:HTTP使用明文进行传输,因此传输内容可能很容易被窃听。
- 可伪装:HTTP协议中不管是请求还是响应都不会对客户端和服务器的身份进行确认。通过中间人攻击的方式很容易伪装成通信的一端与另一端进行通信。
- 可篡改:HTTP协议本身没有提供数据完整性的校验机制,因此很容易被中间人进行信息篡改。
由于上述问题,HTTPS应运而生。HTTPS可以简单理解为,运用SSL/TLS,PKI,密码学等安全机制来保障HTTP安全通信的技术集合,其主要解决了上述的几个问题:
- 防止被窃听—加密:通过和SSL或TLS的组合使用,加密HTTP的通信内容。
- 防止遭遇伪装—证书:通过证书确认通信双方的身份。证书可以由专门的第三方CA颁发,也可以自己给自己颁发(风险较大)。
- 防止被篡改—摘要:通过对主体内容进行摘要计算,以防止信息篡改。</