http 加密的正确方法

http 加密的正确方法 就在你的如果里了，TLS 就是正确方式。

不管你采用对称算法还是非对称算法，由于客户端环境不可信，所以密钥都是明文的。

再如果客户端、服务端运行环境都是可信的。

由于密钥是固定的，仍然存在统计学意义上的破解可能。

无论如何，放弃 TLS ，自己造轮子，都是工作量更多，且效果更差。

https 不就是这样干的？

https 不也是用密钥吗

我的建议是你怎么开心怎么来

已经上 https ，主要是客户还不满意，非要国密，https 现在还没有普遍支持，不得已求其次，无奈。

1+1 的正确答案 首先排除 2 是吧
如果是出于学习密码学目的, 你照着 TLS 早期版本自己造一遍轮子倒是无所谓, 实际使用上来先排除正确答案是啥意思...

@senx0000 #5 国密有 SM2 的证书

https 更多是一种端到端的认证，比如在 app 中使用 ssl pinning ，锁定认可的证书。
加密应用协议很多银行类的 app 都在使用，但选择如何加密，比如密钥等加密参数如何下放，如何保护客户端的加密方法，比如代码混淆，应用加固，防止反编译，被动态调试都是需要解决的问题。
而在 web 端，保护加密资产感觉更困难一些，毕竟就是 js 被混淆了一下，只是读起来恶心但不是完全不能解（成本问题），可能会通过 wasm 等把加密资产二进制化更好一些

至少看看能不能找到个不安全的理由给客户，让他放弃。

实现安全性 Rule No.1：不要自己造轮子。

@senx0000 用国密证书就行了
对付 sb 要用 sb 自己的方法

早期网游不都没上 HTTPS ，走的都是自由加密协议，又不是不能用。

后来苹果强制开 HTTPS ，你不开加密，APP 都没办法上线，很大程度推动了加密协议的标准化流程。

不解决其他问题，只解决中间人能看明文的问题

@senx0000 那就用国密算法自己对请求内容再进行一边加密，同时保留 https 。

@RRyo @julyclyde 国密证书只有国产的一些浏览器支持吧

@tool2d #12 苹果强制的 HTTPS 好多年前就在说，到现在还没落实

能说服客户认可的加密就是好加密 :P

@senx0000 只解决中间人看明文的问题，建议 base64“加密”

http 要求加密，无非是解决中间人攻击的问题，用非对称加密就好了。https 也是用来解决中间人攻击的问题。

客户端的明文或者密钥泄漏，是客户端的本地安全问题，应在客户端层解决。而不是通过链接层的安全策略来解决客户端安全。

国密也还是 HTTPS ，还是 SSL 证书，只是使用了 SM2 、SM3 协议。