確保Web安全的HTTPS

一、HTTP缺點

1. 通訊使用明文（不加密），內容可能會被竊聽

• TCP/IP是可能被竊聽的網路      WireShark抓取流動資料包，獲取HTTP協議的請求和響應內容進行解析
• 加密處理防止被竊聽  　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　     通訊的加密：通過SSL（安全套接層）和TLS（安全傳輸層協議）組合加密HTTP通訊內容，用SSL建立安全通訊線路，　　　　　　　　稱為HTTPS（超文字傳輸安全協議）或HTTP　over　SSL　　　　　　　　　　　　　　　　　　　　　　　內容的加密：報文首部不加密，報文主體進行加密

1. 不驗證通訊方的身份，因此有可能遭遇偽裝

• 任何人都可發起請求　可能是偽裝的伺服器或偽裝的客戶端，無意義請求也會照單全收，無法阻止海量請求下的DoS攻擊　　　　　　　　　　　（拒絕服務攻擊）
• 查明對手證書　HTTP協議無法確定通訊方，但是SSL可以。SSL提供加密處理，使用證書驗證身份。

1. 無法證明報文的完整性，所以有可能已遭篡改

• 接收到的內容可能有誤　中途資訊可能被篡改　中間人攻擊（MITM）
• 如何防止篡改　　HTTP中常用MD5和SHA-１等雜湊校驗的方法　　SSL提供認證和加密處理及摘要功能

二、HTTP＋加密＋認證＋完整性保護＝HTTPS

1.HTTPS是身披SSL外殼的HTTP

  HTTP通訊介面部分用SSL，TLS

2.SSL採用公開密匙加密的方法

• 共享密匙加密的困境 加密和解密共用一個金鑰的方式稱為共享金鑰加密，對稱金鑰加密
• 使用兩把金鑰的公開金鑰加密 非對稱金鑰 一把私有金鑰，一把公開金鑰  公開金鑰加密，私有金鑰解密
• HTTPS採用混合加密機制

3.證明公開金鑰加密方式正確性的證書  使用由數字認證機構和其他相關機構辦法的公開金鑰證書

• 可證明組織真實性的EV SSL證書
• 用以確認客戶端的客戶端證書  但需要客戶端自行購買
• 認證機構信譽第一
• 由自由認證機構辦法的證書稱為自簽名證書

4.HTTPS的安全通訊機制