《图解HTTP》阅读笔记--第七章---确保WEB安全的HTTPS

　　　　　　　　　　　　　　第七章、确保WEB安全的HTTPS
HTTP的缺点：
通信使用明文（不加密），内容可能会被窃听
解决---加密处理：
　　//将通信加密 :通过SSL（安全套接层）---HTTPS(超文本传输安全协议)---|TLS（安全传输层协议）
　　//将内容加密：对HTTP报文内容加密处理
　　　　不验证通信方的身份，可能遭遇伪装
　　//查明对手的证书完成个人身份确认
　　　　无法证明报文的完整性，可能遭遇篡改
　　//请求或响应在传输过程中被篡改称为中间人攻击
　　　　解决：散列值校验（MD5<单项函数生成的散列值>|SHA-1等）| 确认以PGD创建的文件的数字签名方法
//以上解决方法需要用户亲自检查确认，浏览器无法自动检查。

HTTPS=HTTP+加密+认证+完整性保护
HTTPS不是一种新协议，而是HTTP通信接口部分用SSL和TLS协议代替了。
HTTP通常直接和TCP通信，而HTTPS先和SSL通信，再由SSL和TCP通信（SSL是独立于HTTP的网络安全协议）

SSL加密方法：相互交换密钥的公开密钥加密技术
　　//共享密钥加密|对称密钥加密---加密解密共用一个密钥
　　//公开密钥加密（复杂，效率低）---使用两把非对称的密钥，即公开密钥（加密）以及私有密钥（解密）
　　//混合加密方式（HTTPS）---在交换密钥时使用公开密钥加密方式，之后建立通信交换报文阶段使用共享密钥加密方式

证明公开密钥正确性的证书：（由CA-数字证书认证机构或其他相关机构颁发的证书）
　　//EV SSL证书：证明组织真实性
　　//客户端证书：确认客户端
　　//自认证机构（独自构建的认证机构）颁发的自签名证书
　　//中级认证机构颁发的证书---有些浏览器会认为正规，有些认为是自认证证书
P157-166略