哪家做网站公司,手机高端网站开发,一个网站做多少内链合适,四川建设网app下载来源#xff1a;https://www.cnblogs.com/haimishasha/p/11373034.html 目录
应用层协议#xff1a;HTTPS
1. HTTPS定义
2. 密码学基础
3. HTTP通信问题
4. SSL/TLS协议
5. HTTP 向 HTTPS 演化的过程
5.1 对称加密
5.2 非对称加密
5.3 对称加密非对称加密
5.4 安…来源https://www.cnblogs.com/haimishasha/p/11373034.html 目录
应用层协议HTTPS
1. HTTPS定义
2. 密码学基础
3. HTTP通信问题
4. SSL/TLS协议
5. HTTP 向 HTTPS 演化的过程
5.1 对称加密
5.2 非对称加密
5.3 对称加密非对称加密
5.4 安全的获取公钥 CA
6. HTTPS通信过程
1. 客户端发起HTTPS请求
2. 服务端的配置
3. 传送证书
4. 客户端解析证书
5. 传送加密信息
6. 服务端解密信息
7. 传输加密后的信息
8. 客户端解密信息
7. HTTPS单向认证
8. 中间人攻击原理
9. HTTPS双向认证
10. https服务部署过程和原理
10.1 证书的获取
10.2 客户端识别证书
10.3 https的加密通信过程
10.4 综合解惑
11. 注意 参考网址 应用层协议HTTPS
1. HTTPS定义 Hyper Text Transfer Protocol over Secure Socket Layer安全的超文本传输协议网景公式设计了SSL(Secure Sockets Layer)协议用于对Http协议传输的数据进行加密保证会话过程中的安全性。 缩写HTTPS常称为HTTP over TLSHTTP over SSL或HTTP Secure 两大作用一种是建立一个信息安全通道来保证数据传输的安全另一种就是确认网站的真实性。 2. 密码学基础
明文 明文指的是未被加密过的原始数据。
密文明文被某种加密算法加密之后会变成密文从而确保原始数据的安全。密文也可以被解密得到原始的明文。
密钥密钥是一种参数它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥分别应用在对称加密和非对称加密上。对称加密
对称加密又叫做私钥加密即信息的发送方和接收方使用同一个密钥去加密和解密数据。
其加密过程如下明文 加密算法 私钥 密文
解密过程如下密文 解密算法 私钥 明文
对称加密中用到的密钥叫做私钥私钥表示个人私有的密钥即该密钥不能被泄露。
其加密过程中的私钥与解密过程中用到的私钥是同一个密钥这也是称加密之所以称之为“对称”的原因。由于对称加密的算法是公开的所以一旦私钥被泄露那么密文就很容易被破解所以对称加密的缺点是密钥安全管理困难。
对称加密的特点是算法公开、加密和解密速度快适合于对大数据量进行加密
常见的对称加密算法有DES、3DES、TDEA、Blowfish、RC5和IDEA。
非对称加密
非对称加密也叫做公钥加密。非对称加密与对称加密相比其安全性更好。对称加密的通信双方使用相同的密钥如果一方的密钥遭泄露那么整个通信就会被破解。而非对称加密使用一对密钥即公钥和私钥且二者成对出现。私钥被自己保存不能对外泄露。公钥指的是公共的密钥任何人都可以获得该密钥。用公钥或私钥中的任何一个进行加密用另一个进行解密。
被公钥加密过的密文只能被私钥解密过程如下明文 加密算法 公钥 密文 密文 解密算法 私钥 明文
被私钥加密过的密文只能被公钥解密过程如下明文 加密算法 私钥 密文 密文 解密算法 公钥 明文
由于加密和解密使用了两个不同的密钥这就是非对称加密“非对称”的原因。
非对称加密的缺点是加密和解密花费时间长、速度慢只适合对少量数据进行加密。
在非对称加密中使用的主要算法有RSA、Elgamal、Rabin、D-H、ECC椭圆曲线加密算法等。
哈希算法
将任意长度的信息转换为较短的固定长度的值通常其长度要比信息小得多且算法不可逆。
例如MD5、SHA-1、SHA-2、SHA-256 等
指纹算法/摘要算法【hash值计算】 对消息使用hash算法/摘要算法进行单向处理获取一个固定长度的信息的摘要/hash值。
数字签名
对信息的摘要【通过hash算法/摘要算法/指纹算法计算的信息摘要/hash值】使用签名算法进行加密得到的密文就叫做数字签名
签名就是在信息的后面再加上一段内容信息经过hash后的值可以证明信息没有被修改过。hash值一般都会加密后也就是签名再和信息一起发送以保证这个hash值不被修改。
数字证书 是互联网通信中的身份标识(主要是用户身份信息和公钥)一般由CA中心颁发既CA认证中心或第三方权威机构。 数字证书上通常包括CA的签名证书所有人的公钥CA中心的签名算法指纹以及指纹算法证书的唯一编号版本有效期等。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。 数字证书是一种权威性的电子文档可以由权威公正的第三方机构即CA例如中国各地方的CA公司中心签发的证书也可以由企业级CA系统进行签发。 3. HTTP通信问题 HTTP协议基于TCP进行传输的其中传输的内容全都裸露在报文中如果我们获取了一个HTTP消息体那我们可以知道消息体中所有的内容。这其实存在很大的风险如果HTTP消息体被劫持那么整个传输过程将面临 1 窃听风险eavesdropping通信使用明文(不加密)内容可能被窃听。 2 篡改风险tampering无法证明报文的完整性所以可能遭篡改。 3 冒充风险pretending不验证通信方的身份因此有可能遭遇伪装。 正因为HTTP协议的这个缺点, HTTP变成了一种不安全的协议。 https://zhuanlan.zhihu.com/p/27395037
4. SSL/TLS协议 SSLSecure Socket Layer安全套接字层位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性以实现客户端和服务器之间的安全通讯。该协议由两层组成SSL记录协议和SSL握手协议。 TLS(Transport Layer Security传输层安全协议)用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成TLS记录协议和TLS握手协议。 位置介于传输层与应用层之间 SSL/TLS协议是为了解决HTTP这三大风险而设计的希望达到 1 所有信息都是加密传播第三方无法窃听。 2 具有校验机制一旦被篡改通信双方会立刻发现。 3 配备身份证书防止身份被冒充。 http://www.sohu.com/a/294450321_100134138 5. HTTP 向 HTTPS 演化的过程 最直观上的差异HTTP协议用明文传输报文HTTPS用密文。 5.1 对称加密 第一步为了防止上述现象的发生人们想到一个办法对传输的信息加密即使黑客截获也无法破解 如上图所示此种方式属于对称加密双方拥有相同的密钥信息得到安全传输
在经过TCP的三次握手之后客户端和服务器开启了连接如果对后续双方传输的内容进行对称加密那么理论上我们在本次传输中防止了内容裸露。
但是由于对称加密使用秘钥在两端是一样的要维持每个客户端的秘钥不一致整套加密才有意义这样将会产生海量的秘钥维护困难。
另外因为对称加密需要双方协商一致一般可用提前约定或者使用前传输秘钥不管是哪种方式都很容易导致秘钥邪泄漏。只要黑客获取到秘钥那么所谓的加密传输就如同虚设了。 此种方式的缺点是 1不同的客户端、服务器数量庞大所以双方都需要维护大量的密钥维护成本很高 2因每个客户端、服务器的安全级别不同密钥极易泄露 5.2 非对称加密 第二步既然使用对称加密时密钥维护这么繁琐那我们就用非对称加密试试 如上图所示客户端用公钥对请求内容加密服务器使用私钥对内容解密反之亦然·
用户使用公钥进行加密之后消息体能够安全的抵达服务器但是在服务器返回数据的时候黑客截取到信息之后,能够通过公钥对响应的内容进行解密最后进行篡改导致这个加密方案失败。
另外非对称加密不适用与数量太大的报文大数量的报文导致加密效率降低。1公钥是开放给所有人的但私钥是需要保密的存在于服务端
2服务器端server向client端A、B.....的信息传输是不安全的因为所有人都可以获取公钥
3但client端A、B.....向server端的信息传输确实安全的因为私钥只有server端存在 缺点 1公钥是公开的也就是黑客也会有公钥所以第 ④ 步私钥加密的信息如果被黑客截获其可以使用公钥进行解密获取其中的内容 2非对称加密不适用与数量太大的报文大数量的报文导致加密效率降低。 5.3 对称加密非对称加密 第三步非对称加密既然也有缺陷那我们就将对称加密非对称加密两者结合起来取其精华、去其糟粕发挥两者的各自的优势 如上图所示
1第 ③ 步时客户端说咱们后续回话采用对称加密吧这是对称加密的算法和对称密钥这段话用公钥进行加密然后传给服务器
2服务器收到信息后用私钥解密提取出对称加密算法和对称密钥后服务器说好的对称密钥加密
3后续两者之间信息的传输就可以使用对称加密的方式了
遇到的问题
1客户端如何获得公钥
2如何确认服务器是真实的而不是黑客客户端在获取一个公钥之后如何确定这个公钥是正确的服务端发出的
5.4 安全的获取公钥 CA 第四步获取公钥与确认服务器身份 如何安全的获取公钥并确保公钥的获取是安全的 那就需要用到终极武器了SSL 证书需要购买和CA机构 怎么保证服务器给客户端下发的公钥是真正的公钥而不是中间人伪造的公钥呢 https://blog.csdn.net/xiaoming100001/article/details/81109617 https://blog.51cto.com/11883699/2160032 1、获取公钥 1提供一个下载公钥的地址回话前让客户端去下载。缺点下载地址有可能是假的客户端每次在回话前都先去下载公钥也很麻烦 2回话开始时服务器把公钥发给客户端缺点黑客冒充服务器发送给客户端假的公钥 2、那有木有一种方式既可以安全的获取公钥又能防止黑客冒充呢 那就需要用到终极武器了SSL 证书需要购买申购和CA机构 如上图所示在第 ② 步时服务器发送了一个SSL证书给客户端SSL 证书中包含的具体内容有
1证书的发布机构CA
2证书的有效期
3公钥
4证书所有者
5签名
6. HTTPS通信过程 HTTPS其实是有两部分组成HTTP SSL / TLS也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密所以传输的数据都是加密后的数据。 一个HTTPS请求实际上包含了两次HTTP传输可以细分为8步。 1. 客户端发起HTTPS请求 客户端向服务器发起HTTPS请求连接到服务器的443端口,请求携带了浏览器支持的加密算法和哈希算法。 2. 服务端的配置 服务器端有一个密钥对即公钥和私钥是用来进行非对称加密使用的服务器端保存着私钥不能将其泄露公钥可以发送给任何人。 服务器收到请求选择浏览器支持的加密算法和哈希算法。 采用HTTPS协议的服务器必须要有一套数字证书可以自己制作也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过才可以继续访问而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择有1年的免费服务)。这套证书其实就是一对公钥和私钥。公钥给别人加密使用私钥给自己解密使用。如果对公钥和私钥不太理解可以想象成一把钥匙和一个锁头只是全世界只有你一个人有这把钥匙你可以把锁头给别人别人可以用这个锁把重要的东西锁起来然后发给你因为只有你一个人有这把钥匙所以只有你才能看到被这把锁锁起来的东西。 3. 传送证书 服务器将自己的CA 证书(公钥)发送给客户端。 这个证书其实就是公钥只是包含了很多信息如证书的颁发机构过期时间等等。 4. 客户端解析证书 客户端收到服务器端的公钥之后会对公钥进行检查验证其合法性如果发现发现公钥有问题那么HTTPS传输就无法继续。如果公钥合格那么客户端会生成一个随机值这个随机值就是用于进行对称加密的密钥我们将该密钥称之为client key即客户端密钥这样在概念上和服务器端的密钥容易进行区分。然后用服务器的公钥对客户端密钥进行非对称加密这样客户端密钥就变成密文了至此HTTPS中的第一次HTTP请求结束。 这部分工作是有客户端的TLS来完成的首先会验证公钥是否有效比如颁发机构过期时间等等如果发现异常则会弹出一个警告框提示证书存在问题。如果证书没有问题那么就生成一个随即值。然后用证书对该随机值进行加密。就好像上面说的把随机值用锁头锁起来这样除非有钥匙不然看不到被锁住的内容。 证书真伪进行校验 1首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验 2浏览器开始查找操作系统中已内置的受信任的证书发布机构CA与服务器发来的证书中的颁发者CA比对用于校验证书是否为合法机构颁发 3如果找不到浏览器就会报错说明服务器发来的证书是不可信任的。 4如果找到那么浏览器就会从操作系统中取出 颁发者CA 的公钥然后对服务器发来的证书里面的签名进行解密得到服务端的公钥和证书的数字签名数字签名经过CA公钥解密得到证书信息摘要。 5浏览器使用相同的hash算法计算出服务器发来的证书的hash值将这个计算的hash值与证书中签名做对比 6对比结果一致则证明服务器发来的证书合法没有被冒充 7此时浏览器就可以读取证书中的公钥用于后续加密了 5. 传送加密信息 客户端会发起HTTPS中的第二个HTTP请求将加密之后的客户端密钥发送给服务器。 这部分传送的是用证书加密后的随机值R(私钥)目的就是让服务端得到这个随机值R以后客户端和服务端的通信就可以通过这个随机值R来进行加密解密了。 6. 服务端解密信息 服务器接收到客户端发来的密文之后会用自己的私钥对其进行非对称解密解密之后的明文就是客户端密钥(随机数 R)然后把内容用客户端密钥随机数 R进行对称加密这样数据就变成了密文。 服务端用私钥解密后得到了客户端传过来的随机值(私钥)然后把内容通过该值进行对称加密。所谓对称加密就是将信息和私钥通过某种算法混合在一起这样除非知道私钥不然无法获取内容而正好客户端和服务端都知道这个私钥所以只要加密算法够彪悍私钥够复杂数据就够安全。 7. 传输加密后的信息 然后服务器将加密后的密文发送给客户端。(服务器以随机数 R 为密钥把传输内容使用对称加密算法加密并传输给浏览器)。 这部分信息是服务端用私钥加密后的信息可以在客户端被还原 8. 客户端解密信息 客户端收到服务器发送来的密文用客户端密钥(随机数 R)对其进行对称解密得到服务器发送的数据。这样HTTPS中的第二个HTTP请求结束整个HTTPS传输完成。 客户端用之前生成的私钥解密服务段传过来的信息于是获取了解密后的内容。整个过程第三方即使监听到了数据也束手无策。 7. HTTPS单向认证
Https在建立Socket连接之前需要进行握手具体过程如下 客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息同时也返回服务器端的证书即公钥证书客户端使用服务端返回的信息验证服务器的合法性包括 证书是否过期发型服务器证书的CA是否可靠返回的公钥是否能正确解开返回证书中的数字签名服务器证书上的域名是否和服务器的实际域名相匹配验证通过后将继续进行通信否则终止通信客户端向服务端发送自己所能支持的对称加密方案供服务器端进行选择服务器端在客户端提供的加密方案中选择加密程度最高的加密方式。服务器将选择好的加密方案通过明文方式返回给客户端客户端接收到服务端返回的加密方式后使用该加密方式生成产生随机码用作通信过程中对称加密的密钥使用服务端返回的公钥进行加密将加密后的随机码发送至服务器服务器收到客户端返回的加密信息后使用自己的私钥进行解密获取对称加密密钥。在接下来的会话中服务器和客户端将会使用该密码进行对称加密保证通信过程中信息的安全。
8. 中间人攻击原理 中间人攻击即所谓的Man-in-the-middle attack(MITM)顾名思义就是攻击者插入到原本直接通信的双方让双方以为还在直接跟对方通讯但实际上双方的通信对方已变成了中间人信息已经是被中间人获取或篡改。 解决办法 HTTPS 双向验证在客户端中内置服务器公钥在服务器下将 CA 证书给浏览器的时候返回的公钥服务端要求客户端发送客户端的证书客户端会将自己的证书发送至服务端。 除了验证公钥的有效性之外再比对公钥是不是和内置的公钥一样不一样说明被中间者攻击了就断开链接不在请求了。 9. HTTPS双向认证
双向认证和单向认证原理基本差不多只是除了客户端需要认证服务端以外增加了服务端对客户端的认证具体过程如下 客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息同时也返回服务器端的证书即公钥证书客户端使用服务端返回的信息验证服务器的合法性包括 证书是否过期发型服务器证书的CA是否可靠返回的公钥是否能正确解开返回证书中的数字签名服务器证书上的域名是否和服务器的实际域名相匹配验证通过后将继续进行通信否则终止通信服务端要求客户端发送客户端的证书客户端会将自己的证书发送至服务端验证客户端的证书通过验证后会获得客户端的公钥客户端向服务端发送自己所能支持的对称加密方案供服务器端进行选择服务器端在客户端提供的加密方案中选择加密程度最高的加密方式将加密方案通过使用之前获取到的公钥进行加密返回给客户端客户端收到服务端返回的加密方案密文后使用自己的私钥进行解密获取具体加密方式而后产生该加密方式的随机码用作加密过程中的密钥使用之前从服务端证书中获取到的公钥进行加密后发送给服务端服务端收到客户端发送的消息后使用自己的私钥进行解密获取对称加密的密钥在接下来的会话中服务器和客户端将会使用该密码进行对称加密保证通信过程中信息的安全。
10. https服务部署过程和原理
了解https的原理最好的方法就是走一遍流程理论上的流程和原理通过以下几点来解释
证书申请证书信任密文通信
10.1 证书的获取
https的关键之一就是ssl证书为了保证证书的安全有效性在各类委员会/厂商之间合作通过类似圆桌会议来形成若干权威的认证机构【顶级认证机构可以有若干附属的二级、三级...认证机构】想要得到受信任的证书就需要向CA机构提交证书签名请求 (CSR, Certificate Signing Request)。过程如下
证书申请者【一般是公司、个人开发者等】需要使用加密算法【大部分是RSA算法】来生成私钥其中私钥保存在服务器上不提供给任何人。使用私钥生成证书签名请求 (CSR, Certificate Signing Request)【CSR中附带有公钥】需要提供一些申请者相关的信息【域名、拥有者等信息】发送给CA机构请求他们的签名经过他们签名才能成为被信任的证书。CA机构对申请者进行验证【这里不同类型收费不同验证方式也会不同】验证通过后将会在证书中添加部分信息【证书颁发机构、有效期、指纹/hash算法、签名算法】形成新的证书。【CA机构也是使用其自身的私钥来签名其他证书的】 对新的证书进行签名步骤如下 对新证书按照指纹/hash算法进行hash值计算使用CA机构的私钥对计算出来的hash值按照签名算法进行加密得出的密文就是数字签名将数字签名放在证书的最后面【签名完成】得到完整的证书并返回给申请者申请者获取签名证书保证自己的HTTPS服务被信任。所以最后的证书基本包括但不限于的内容如下
证书的有效期公钥证书所有者Subject签名所使用的算法指纹以及指纹算法【hash算法】Version Number版本号。Serial Number序列号。颁发机构数字签名
10.2 客户端识别证书
在申请到受信任的证书后客户端是怎么知道这些证书是值得信任的呢不同浏览器和系统的具体实现不太一样但是基本的方式差不多都是在系统或者浏览器中事先准备好权威的CA机构的相关信息[公钥、常使用的各类hash、签名、加密算法等]。具体过程如下
浏览器访问某https服务带上浏览器自身支持的一系列Cipher Suite密钥算法套件后文简称Cipher[C1,C2,C3, …]发给服务器【算法套件包括非对称算法、对称算法、hash算法】服务器接收到浏览器的所有Cipher后与自己支持的套件作对比如果找到双方都支持的Cipher【双方套件中都能支持的最优先算法】则告知浏览器并返回自己的证书浏览器确认和服务端后续的密文通信的加密算法同时对证书进行认证使用证书中的认证机构【可能是二级、三级机构】的公钥【系统、浏览器事先准备好的】按照证书中的签名算法进行解密【认证机构使用私钥加密的密文只能通过该认证机构的公钥进行解密】解密获取hash值使用证书中的hash/摘要算法对证书信息【证书签名除外的信息[服务器公钥、有效期等]】hash值计算和4中解密的hash值进行对比如果相等表示证书值得信任【通过数字签名来保证证书内容没有被篡改】。10.3 https的加密通信过程
在上文的流程之后【证书信任客户端和服务端握手中需要的非对称算法、握手信息验证的hash算法、正文传输的对称加密】就是具体的通信过程
客户端信任了服务端的证书并和服务端确认了双方的加密算法【握手中需要的非对称算法、握手信息验证的hash算法、正文传输的对称加密】客户端生成随机数通过证书中的公钥按照约定的非对称加密算法进行加密得到加密的随机数秘钥同时将之前所有的通信信息【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值并使用随机数和协商好的对称加密算法进行签名加密将随机数秘钥和加密签名发送到服务端。服务端收到随机数秘钥和加密签名先使用私钥将随机数按照约定的非对称解密算法进行解密获取随机数同时使用随机数按照约定的对称解密算法进行解密获取待验证的hash值将之前的通信消息体【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值与刚才解密获取的待验证的hash值对比验证加密成功与否。成功以后服务器再次将之前所有的通信信息【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值并使用随机数和协商好的对称加密算法进行签名加密将随机数秘钥发送到客户端客户端使用随机数按照约定的对称解密算法进行解密获取待验证的hash值将之前的通信消息体【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值与刚才解密获取的待验证的hash值对比验证加密成功与否成功的话整个链接过程完成之后将使用随机数和约定的对称加密算法进行密文通信【如果上面的任何步骤出现问题都将会结束整个握手过程导致建立安全连接失败】。10.4 综合解惑
这里的整个过程分的很细不过还是很清晰的把整个https的原理和过程阐述了;下面解释一下其中一些疑惑点
CA机构认证的作用 可以作为全球有限的权威认证经过其签名的证书都可以视为可信任的所以他们的私钥必须要保证不被泄露如果泄露的话需要及时的进行吊销签名为什么需要加密计算的hash值hash值已经是单向不可逆的运算了 因为虽然hash值是单向的但是计算hash的算法和内容都是公开的如果不进行加密那么由于其他人可以修改证书内容根据hash算法重新计算hash这样就会出现安全漏洞所以使用加密的密文才是安全的。为什么要有随机数为什么在客户端生成 随机数是作为后续整个密文加解密的关键秘钥只有获取这个随机数的人才可以看到通信的内容保证通信的安全通过客户端产生是因为会话的发起者是用户端为了保证用户端的唯一以及保证服务端和客服端的会话内容不被篡改如果是服务端来生成的话第三方可以通过公钥来解密服务端加密的随机数存在不安全因素。证书验证完成后为什么客户端需要和服务端互相发送一次签名信息 证书验证完成以后需要传递一个随机数使用公钥、私钥进行非对称加解密后面在发生内容消息的前面是为了验证通过随机数进行对称加解密保证双方获取的数据正确性。
11. 注意
HTTPS协议的加密范围也比较有限在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用SSL证书的信用链体系并不安全特别是在某些国家可以控制CA根证书的情况下中间人攻击一样可行 SSL证书需要购买申请功能越强大的证书费用越高 SSL证书通常需要绑定IP不能在同一IP上绑定多个域名IPv4资源不可能支撑这个消耗SSL有扩展可以部分解决这个问题但是比较麻烦而且要求浏览器、操作系统支持Windows XP就不支持这个扩展考虑到XP的装机量这个特性几乎没用。 根据ACM CoNEXT数据显示使用HTTPS协议会使页面的加载时间延长近50%增加10%到20%的耗电。 HTTPS连接缓存不如HTTP高效流量成本高。 HTTPS连接服务器端资源占用高很多支持访客多的网站需要投入更大的成本。 HTTPS协议握手阶段比较费时对网站的响应速度有影响影响用户体验。比较好的方式是采用分而治之类似12306网站的主页使用HTTP协议有关于用户信息等方面使用HTTPS。 参考网址
HTTPS协议的实现原理Https原理及流程图解HTTPSHTTPS原理和CA证书申请满满的干货HTTPS系列干货一HTTPS 原理详解HTTP和HTTPS协议看一篇就够了https服务的原理和实现Https单向认证和双向认证HTTPS 之原理中间人攻击原理Https双向认证
