我们首先来看一个图片,实习一张图就 ok 了。
具体步骤
-
握手过程(Handshake) :
- 客户端Hello(ClientHello) :客户端向服务器发出连接请求,并包含支持的加密算法、协议版本和其他参数。
- 服务器Hello(ServerHello) :服务器从客户端提供的加密算法和其他参数中选择一组相匹配的参数,并向客户端发送确认。
- 证书传递(Certificate Exchange) :服务器将其数字证书发送给客户端,证书包含了服务器的公钥以及与该证书相关的信息。
- 密钥协商(Key Exchange) :使用服务器发送的证书,客户端生成一个随机的对称密钥,并使用服务器的公钥进行加密。服务器使用其私钥解密客户端发送的信息,得到对称密钥。
- 完成握手(Finish Handshake) :客户端和服务器都通知对方握手过程已完成,之后的通信将使用协商得到的对称密钥进行加密。
-
加密通信:
- 一旦握手完成,客户端和服务器就可以使用协商得到的对称密钥进行通信。对称密钥加密效率高,因此在实际通信中使用对称密钥加密数据,而非证书中的公钥。
-
数据传输:
- 客户端和服务器使用协商的对称密钥加密和解密数据,确保通信的保密性。对称密钥只在握手过程中传输,之后的通信都使用该密钥进行加密。
-
安全性保障:
- HTTPS 不仅提供了数据机密性,还可以防止中间人攻击(Man-in-the-Middle Attacks)等安全威胁。数字证书用于验证服务器的身份,防止攻击者伪造服务器并与客户端建立连接。
TLS/SSL
我们常说 HTTPS 使用了 TLS/SSL,那这部分体现在哪里呢?
-
握手过程(Handshake) :
- 在 HTTPS 握手过程中,客户端和服务器之间会执行 TLS 或 SSL 握手协议,这是整个加密体系的起点。
- 在握手期间,协商加密算法、密钥交换方式,并验证对方的身份。这确保了双方都同意使用的加密套件和密钥,并且验证了服务器的身份,防止中间人攻击。
- 握手过程包括客户端Hello、服务器Hello、证书传递、密钥协商等步骤,最终导致生成一个对称密钥,用于后续的通信加密。
-
记录协议(Record Protocol) :
- 一旦握手完成,TLS 或 SSL 使用记录协议来对通信数据进行加密和解密。
- 应用层的数据被划分为记录,然后使用握手阶段协商得到的对称密钥对这些记录进行加密。这确保了在网络上的安全传输,实现了端到端的加密。
-
加密算法的使用:
- 在握手过程中,客户端和服务器协商选择一组加密算法,包括对称加密算法(如AES、3DES)、非对称加密算法(如RSA、Diffie-Hellman)、摘要算法(如SHA-256)等。
- 这些算法的选择取决于客户端和服务器支持的最高级别的安全性,确保在通信过程中数据的保密性和完整性。
-
数字证书:
- HTTPS 使用数字证书来验证服务器的身份。服务器的数字证书通常由受信任的证书颁发机构(CA)签发,包含了服务器的公钥和相关的身份信息。
- 客户端在握手过程中验证服务器的数字证书,确保它是有效的,从而防止中间人攻击。