有人问我 S-HTTP 和 HTTPS 有什么区别,我想知道是否有人对此有所了解。
维基百科说,S-HTTP 只加密提供的页面数据和提交的数据,如 POST 字段,而协议的启动保持不变。因此,S-HTTP 可以在同一端口上与 HTTP(不安全)同时使用,因为未加密的标头将确定传输的其余部分是否加密。(我没明白这一点,谁能举个例子)
相比之下,基于 TLS 的 HTTP 将整个通信封装在传输层安全性 (TLS;以前称为 SSL) 中,因此加密在发送任何协议数据之前就开始了。
那么 HTTPS 比 S-HTTP 更安全吗?
S-HTTP 的基本思想是在基于文本的 HTTP 协议中完成所有在二进制 SSL/TLS 协议中完成的事情。这本身并不会降低安全性。
从今天的角度来看,它绝对不安全的原因是允许的密码的选择(参见RFC 2660 的第 3.2.4.7 节),其中仅包括今天被认为是弱的密码。但 S-HTTP 不仅是关于密码的旧协议。可以预期,同时针对 SSL/TLS 开发并在后续版本中得到修复的一些攻击也适用于 S-HTTP。考虑到它的开发时间,我预计 S-HTTP 的安全级别大约是 SSL 2.0 的弱安全级别,但最多是 SSL 3.0。