在討論這個話題之前,先提幾個問題:

  1. 為什么說https是安全的,安全在哪里?
  2. https是使用了證書保證它的安全的么?
  3. 為什么證書需要購買?

我們先來看https要解決什么問題

(手機讀者推薦移步http://yincheng.site/https

一、 https解決什么問題

https要解決的問題就是中間人攻擊,什么是中間人攻擊(Man In The Middle Attack)呢?如下圖所示:

你和服務(wù)器的連接會經(jīng)過一個中間人,你以為你和服務(wù)器在正常地傳輸入數(shù)據(jù),其實這些數(shù)據(jù)都先經(jīng)過了一個中間人,這個中間人可以窺探你的數(shù)據(jù)或者篡改你的數(shù)據(jù)后再發(fā)給服務(wù)器,相反也可以把服務(wù)器的數(shù)據(jù)修改了之后再發(fā)給你。而這個中間人對你是透明的,你不知道你的數(shù)據(jù)已經(jīng)被人竊取或者修改了。

二、 中間人攻擊的方式

常見的有以下兩種:

1)域名污染

由于我們訪問一個域名時需要先進行域名解析,即向DNS服務(wù)器請