【发布时间】:2011-07-09 18:03:53
【问题描述】:
我有点困惑。如果 SSL 证书有助于识别您连接到受信任的服务器,那么为什么需要使用加密 (HTTPS) 连接?我可以将 SSL 证书用于 HTTP 连接吗?
【问题讨论】:
【发布时间】:2011-07-09 18:03:53
【问题描述】:
这里有一个误解。证书不是 SSL。使用证书的是 SSL,但证书是在 SSL 之前诞生的。因此,是的,您可以在没有 SSL 的情况下使用 X.509 证书(您可以签署请求并将签名放入例如 HTTP 标头)。您可以使用带 SSL 但不带 SSL 加密的证书(一些 NULL 密码套件)。
SSL/TLS 的便利之处在于它是一个标准,即它被广泛认可和严格定义,而对于其他方案,您需要实现一些自制的东西。然而,我可以提醒您 WS-Security 标准,它正是满足您的要求 - 当您通过 HTTP 将请求发送到 Web 服务器并使用 WS-Security 时,您将获得没有 SSL 的证书身份验证(通过纯 HTTP)。
【讨论】:
-
也有HTTPsec,但是主网站(httpsec.org)好像消失了。