2014第2周二

今天上午及下午3点前都在讨论需求，后来才开始改掉几个bug，也要重点快速做单元测试，本来想晚上早点睡结果到现在还没写随笔，也没有执行每天进门后就反思的教训，这些都是我做的不好的地方。

今天看了htts相关的知识点，了解到它主要是http+SSL组成的，摘录一些重点：

HTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据。具体是如何进行加密，解密，验证的，且看下图。

HTTPS并不能防止站点被网络蜘蛛抓取。在某些情形中，被加密资源的URL可仅通过截获请求和响应的大小推得，^[11]这就可使攻击者同时知道明文（公开的静态内容）和密文（被加密过的明文），从而使选择密文攻击成为可能。

因为SSL在HTTP之下工作，对上层协议一无所知，所以SSL服务器只能为一个IP地址/端口组合提供一个证书。^[12]这就意味着在大部分情况下，使用HTTPS的同时支持基于名字的虚拟主机是不很现实的。一种叫域名指示（SNI）的方案通过在加密连接创建前向服务器发送主机名解决了这一问题。