使用https为网站确保通信是encryption的,并来自和去正确的服务器。 但是https与http相比非常慢,它也打破了httpcaching协议。
有时足以确保用户位于正确的域中,并且在连接期间内容未被修改。 所以我不明白的是为什么没有办法让数字签名的网页内容通过http头发送签名(或哈希),所以浏览器可以validation内容。 证书可以在一个已知的地方或附加的标题栏中提供。 由此产生的协议几乎可以兼容caching,代理和浏览器等各种HTTP(如果浏览器不理解头部,它可以忽略它,一个新的浏览器可以显示该网站是否有效)。
那么问题出在哪里:这个话题之前是否讨论过? 还是有一个RFC或什么可以签署网页已经?
PGP(或GPG)可以对网页进行签名,并且相同的实用程序可以validation签名。 然而,浏览器不支持,所以用户将不得不手动检查页面。
老实说这听起来像一个有趣的想法, 我能想到的主要问题是密钥的可靠分配和签名权限。 用于SSL证书的相同CA可以颁发文档签名证书(或类似的证书),但由于缺乏任何标准或大量的需求,您将陷入“鸡与蛋”问题。
你可以做你想要的SSL:简单地configuration你的服务器使用NULL密码集(例如NULL-SHA或NULL-MD5 ) – 你的数据不会被encryption,但它仍然受到相同的警告任何其他的https连接(caching代理可能不会工作,等等)
结果是经过身份validation的连接,但没有encryption/解密的开销。 不过,浏览器的支持各不相同:有些人可能对NULL密码不太感兴趣,并可能通过警告消息让用户知道他们的不满。