1. HTTP協(xié)議可以和SSL（Secure Socket Layer，安全套接層）或者TLS（Transport Layer Security，安全層傳輸協(xié)議）組合使用來做到通信加密。

1.1 一種是將通信線路加密

HTTPS（超文本傳輸安全協(xié)議）或HTTP over SSL：與SSL組合使用的HTTP.
SSL處于應(yīng)用層和TCP/IP之間。

當(dāng)使用SSL 時，則演變成先和SSL通信，再由SSL和TCP通信了

1.2 一種是將參與通信的內(nèi)容本身加密的方式

需要考慮報文的完整性，防篡改。

1.3 CA認(rèn)證-> 不驗證通信方的身份就可能遭遇偽裝

SSL不僅提供加密處理， 還支持CA證書,CA證書由值得信任的第三方CA機(jī)構(gòu)頒發(fā)，用來證明服務(wù)器的身份真實性。

CA認(rèn)證流程：
step1. 由于服務(wù)端要下發(fā)公鑰給客戶端，公鑰可能在下發(fā)過程中被篡改，因此需要驗證服務(wù)端下發(fā)公鑰的可靠性。

step2. 服務(wù)端會向CA機(jī)構(gòu)申請公鑰，CA會用自己的私鑰對將要下發(fā)給服務(wù)端的公鑰進(jìn)行簽名，并嵌入證書發(fā)給服務(wù)端，服務(wù)端將這個CA簽發(fā)的公鑰證書發(fā)給客戶端即可。
客戶端瀏覽器內(nèi)置了CA機(jī)構(gòu)的公鑰，會對服務(wù)端下發(fā)的公鑰證書的簽名進(jìn)行校驗，校驗通過說明公鑰證書確實是CA機(jī)構(gòu)頒發(fā)的，值得信任(中間篡改者沒有CA的私鑰因此無法篡改公鑰的簽名信息)。

step3. 客戶端就可以用服務(wù)端發(fā)的這個公鑰對自己生成的對稱秘鑰進(jìn)行加密，發(fā)給服務(wù)端，之后的請求就用該對稱秘鑰加密內(nèi)容即可。

有些機(jī)構(gòu)自己頒發(fā)證書，這些證書不內(nèi)置在瀏覽器里，因此稱為自簽名證書，服務(wù)端下發(fā)此類證書時，我們要么直接信任該證書，要么在客戶端事先植入自簽名公鑰等。

總結(jié)

以上是生活随笔為你收集整理的(chap7 确保WEB安全的HTTPS) HTTPS和SSL的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。