网站使用 https 可确保通信加密,并来自和到达正确的服务器。但与 http 相比,https 速度确实很慢,它还会破坏 http 缓存协议。
有时,确保用户在正确的域上并且内容在连接期间未被修改就足够了。所以我不明白为什么没有办法对 Web 内容进行数字签名并通过 http 标头发送签名(或哈希值),以便浏览器可以验证内容。证书可以在已知位置或通过附加标头字段提供。生成的协议将与几乎所有 HTTP 内容兼容,例如缓存、代理和浏览器(如果浏览器不理解标头,它可以忽略它。新浏览器可以显示该网站是否有效)。
那么问题来了:这个话题之前讨论过吗?或者已经有 RFC 或可以对网页进行签名的东西了吗?
答案1
PGP(或 GPG)可以对网页进行签名,并且该实用程序可以验证签名。但是浏览器不支持,因此用户必须手动检查页面。
说实话,这听起来是个有趣的想法;我能想到的主要问题是密钥和签名机构的可信分发。用于 SSL 证书的相同 CA 可以颁发文档签名证书(或类似证书),但由于缺乏任何标准或大量需求,您陷入了“先有鸡还是先有蛋”的问题。
答案2
您可以使用 SSL 完成您要做的事情:只需将您的服务器配置为使用 NULL 密码集(例如NULL-SHA或NULL-MD5) - 但是您的数据将不会被加密,并且仍然受到与任何其他 https 连接相同的警告(缓存代理可能不起作用,等等)
结果是经过身份验证的连接,但没有加密/解密的开销。但是,浏览器支持各不相同:有些浏览器可能不喜欢 NULL 密码,并可能通过警告消息让用户知道他们的不满。