Я хотел бы знать, использую ли я HTTPS для клиента (например, приложение iOS) для связи с сервером для обмена данными, тогда часть «пользовательского шифрования» в моем следующем потоке не нужна? Потому что, как я знаю, с использованием протокола HTTPS уже включена функция шифрования.
Шифрование вместе с HTTPS
В клиенте
открытого текста -> пользовательских шифрования -> HTTPS ---------> Сервер
Что HTTPS протокол сделать, чтобы обеспечить транспортный уровень до обмена сообщениями (HTTP). Что это значит? Это означает, что вы только надежно связываетесь с вашим сервером и клиентом, и только два из них могут интерпретировать сообщения.
тогда часть «пользовательского шифрования» в моем следующем потоке не нужна?
Чтобы ответить на этот вопрос, я бы сказал «Да». Но с вашим подходом нет ничего плохого, если вы этого хотите.
Это зависит от уровня безопасности, который вы можете применить. Если сертификат сервера является действительным сертификатом CA, он должен обладать достаточной защитой. Большинство интернет-банковских услуг полагаются на такую защиту против человека в средних атаках, поэтому он достаточно де-факто. Все преимущества покрыты here.
В случае, если вы хотите извлечь защиту, вы можете пойти на дополнительный уровень безопасности на уровне приложения связи, поскольку история знает, что сторонние сертификаты были скомпрометированы. История here.