与 HTTPS 一起加密答案

【问题标题】：Encryptions together with HTTPS与 HTTPS 一起加密
【发布时间】：2015-08-04 02:54:20
【问题描述】：

我想知道我是否使用 HTTPS 让客户端（例如 iOS 应用程序）与服务器通信以交换数据，那么我的后续流程中的“自定义加密”部分是不必要的吗？因为据我所知，使用 HTTPS 协议已经包含了加密功能。

在客户端
明文 -> 自定义加密 -> https ---------> 服务器

【问题讨论】：

【解决方案1】：

HTTPS 协议的作用是在交换消息 (HTTP) 之前保护传输层。这是什么意思？这意味着您只是在安全地与您的服务器和客户端通信，并且只有他们两个可以解释消息。

那么我以下流程中的“自定义加密”部分是不必要的？

要回答这个问题，我会说“是”。但是，如果您愿意，您的方法没有任何问题。

【讨论】：

【解决方案2】：

这取决于您可能要应用的安全级别。如果服务器的证书是有效的 CA 签名证书，它必须应用足够的安全性。大多数网上银行服务都依赖于这种针对中间人攻击的保护，因此它实际上已经足够好了。涵盖所有福利here。

如果您希望提取安全，您可以在通信的应用程序级别上寻求额外的安全层，因为历史知道第 3 方证书已被泄露。故事here.

【讨论】：