@
iugo 我觉得我的逻辑不神,你先别激动,且听我说说,你要觉得没道理,再尽情喷,我接受。
我看你这么一段描述,如果我没有理解错,你使用或者说是说服大家一起用 HTTPS 的主要目的是为了安全。
那么,我就着重点看你的“为什么使用 HTTPS ”这一段了。
“ HTTP 是明文传输的, 所以容易被中间人攻击. 使用 HTTPS 可以保护信息安全”
我的反驳是:“ HTTPS 就能完全避免中间人攻击了吗?”,我这么说是有根据的,因为之前看过几篇论文说过这方面的问题,并不是加密了就能解决安全问题。我不是安全领域的,不算懂,只能给出一个简单的例子:中间人发布伪造的证书,然后客户端安装了,这样就不能解决中间人攻击
关于“任何信息都需要保证安全吗?”我想表达的意思是,并不是所有的请求都需要使用 HTTPS ,盲目追求,只会浪费服务器资源,你如果要证据,可以在开启 HTTPS 前后,给 nginx 做个压测,握手也是需要耗时的。
关于“ TLS 协议本身没有任何漏洞吗?”我说错了,应该是已经有发现存在漏洞了,而且不在少数,当然版本不同,漏洞也各有不同,例子之一如下
https://hacked.com/tls-flawed-new-tls-vulnerability-found/