我正在考慮爲我的域安裝SSL/TLS。有兩個問題一直困擾着我:https可以回退到https和https的安全級別
是否有任何情況下HTTPS連接可以退回到http?所以,對於例如如果我的AJAX看起來像這樣
$.post("https://foo.com", function(){ });
是否有這可能改變
$.post("http://foo.com", function(){ });
即使它不將我的域名是仍然在入店任何http://foo.com機會?
接下來,我對使用SSL/TLS,從我讀過這似乎是相當準確的假設廣泛閱讀,如果我有這樣的啓用,即使我發送純文本格式的用戶憑據,它仍然是安全的(當然會有加密鹽和服務器上的所有內容)。在什麼程度上這是真的,並創建一個散列在客戶端,然後通過https發送更安全?
更新:如果發送明文通過SSL足夠安全,那麼什麼是真正使用像cnonce事情的意義呢?這不是客戶端上不必要的開銷嗎?
否,SSL連接應該NEVER回落到一個普通的非加密的連接。這完全違背了使用ssl開始的目的。如果SSL無法運行,則連接應徹底終止而不是不安全。它會是這樣。 「哦,呃,監獄的公共汽車不行,在這裏,我們會通過出租車把這個危險的囚犯轉移出去,怎麼會出問題? –
@MarcB尼斯類比:)並感謝您的評論。 –