HTTPS协议学习

http的缺点：（其他一些未加密的协议中也存在）

1. 通信使用明文（不加密），内容可能会被窃听
2. 不验证通信方的身份，因此有可能遭遇伪装
3. 无法证明报文的完整性，所以有可能已遭篡改

TCP/IP是可能被窃听的网络，可以通过加密处理防止被窃听--加密技术。可以加密的对象：

• 通信的加密（http协议没有加密机制，但可以通过和SSL或TLS的组合使用，加密http的通信内容）。用ssl建立安全通信线路之后，就可以在这条线路上进行http通信，与ssl组合使用的http被称为https。
• 内容的加密（将参与通信的内容本身加密，即把http报文里所含的内容进行加密处理）。前提是要求客户端和服务器同时具备加密和解密机制。主要应用在web服务中。（第三方攻击，内容有可能被篡改）

http协议的实现本身非常简单，不论是谁发送过来的请求都会返回响应，因此不确认通信方，会存在以下各种隐患：

1. 无法确定请求发送至目标的web服务器是否按真实意图返回响应的那台服务器，有可能是已经伪装的web服务器
2. 无法确定响应返回的客户端是否是按真实意图接收响应的那个客户端，有可能是已伪装的客户端
3. 无法确定正在通信的对方是否具备访问权限。因为某些web服务上保存着重要的信息，只想发给待定用户通信的权限
4. 无法判定请求来自何方，出自谁手
5. 即使无意义的请求也会响应，可能会造成DOS攻击（拒绝服务攻击）

SSL

ssl不仅提供加密处理，还使用一种证书手段。证书由值得信任的第三方机构颁发，用以证明服务器和客户端是实际存在的。另外，伪造证书从技术手段来说异常困难。可以说是当今世界上应用最为广泛的网络安全术。

如何防止通信内容被篡改

可以使用MD5、SHA系列等散列值校验的方法。

HTTPS

HTTP+加密+认证+完整性保护 =  HTTPS

采用混合加密机制（共享密钥加密和公开密钥加密两者并用的混合加密机制）其中，公开密钥加密比共享密钥加密的处理速度要慢。

转自：https://www.cnblogs.com/zxj015/p/6530766.html