1、https的全过程

目录

一、概述

https是非对称加密和对称加密的过程,首先建立https链接需要经过两轮握手:

  1. TCP三次握手确认双方可通信,
  2. 然后进行SSL握手双方获取会话秘钥(在此期间是非对称加密的过程)

之后双方通过会话秘钥进行数据交互(此过程是对称加密过程)。

二、SSL过程如何获取会话秘钥

1、首先认识几个概念:

  • 非对称加密:存在一把公钥一把私钥,公钥可公开,私钥只能私有,公私钥可以双向加密解密。
  • 公钥加密,私钥解密: 保证内容的安全不被破解,因为只有私有能解密公钥的加密后的内容。
  • 私有加密,公钥解密:保证内容不被篡改,首先私钥对内容进行加密得到数字签名,然后将公钥+内容+数字签名一起发送,客户端拿到后用公钥对数字签名进行解密,得到的结果如果和内容一样,则说明内容没有被篡改。

2、没有CA机构的SSL过程:

  • 服务器持有私钥和公钥,浏览器需要访问服务器
  • 服务器发送公钥给浏览器
  • 浏览器创建一个会话私钥,用服务器的公钥给会话私有加密
  • 浏览器发送加密后的会话私钥给服务器
  • 服务器用私钥解密,得到会话私钥
  • 双方使用会话私钥进行对称加密

3、没有CA机构下的安全问题

此过程存在一个问题,在服务器发送公钥的时候,黑客可以拦截公钥,然后自己伪造一对公私钥,将自己的公钥发给浏览器,浏览器将会话秘钥发回后,用自己的私钥解开得到会话秘钥,再把将浏览器的公钥进行加密然后返还给服务器,服务器和浏览器丝毫不知道中间发生了什么,会话私钥就被黑客持有了,之后的加密通话都被黑客一览无余。

4、有CA机构下的SSL过程

前面我们发现,服务器发送公钥的时候被黑客替换了,原因是浏览器并没有验证公钥是否是服务器的公钥。因此我们需要一个第三方权威机构来帮忙证明公钥就是服务器的。其实权威机构也有自己的公钥和私钥,公钥内置在浏览器中 ,私有用来对服务器的公钥进行加密得到数字签名,并把这个签名给到服务器。而浏览器证明公钥是服务器的过程其实就是用浏览器中内置的CA机构的公钥对服务器给的数字签名进行解密,得到的结果如果和服务器给的公钥一致,即可证明公钥没有被篡改,也即改公钥就是浏览器的。

在此之前,服务器需要先跟CA机构申请数字签名。如下图

得到数字签名后,会将数字签名和公钥一起返回发送个浏览器,浏览器再对公钥进行验证。

简述:

  • 服务器向CA机构提供公钥,CA机构使用机构私钥对服务器公钥进行加密,得到数字签名。
  • 将数字签名返回给服务器,每个浏览器都内置有CA机构的机构公钥。
  • 浏览器请求发起,服务器将数字签名和公钥一起发送给浏览器。
  • 浏览器使用内置的机构公钥对数字进去进行解密,如果解密结果与服务器公钥一致,则验证通过,继续之后的会话私钥交换。
相关推荐
coderhuo9 分钟前
libcurl blind sleep导致的耗时问题
网络协议
treesforest10 分钟前
做内容平台,IP地址精准定位和IP高精度定位查询怎么帮我们提升用户留存
网络·网络协议·tcp/ip
wang_shu_mo_ran1 小时前
网络编程(二):UDP数据报在客户端与服务端之间的传输
网络·网络协议·udp
mudtools2 小时前
HttpUtils:一个编译时生成的声明式 HTTP 客户端框架
网络·网络协议·http·.net
卖萌的斜阳16 小时前
W55MH32L-EVB 上手测评:硬件 TCP/IP 加持的以太网单片机,MicroPython 零门槛开发
单片机·网络协议·tcp/ip
用户83344239661416 小时前
Qt6 实现 TCP/UDP/组播 透明中继抓包工具 | 流量录制回放 | 工业设备调试
网络协议
CryptoPP19 小时前
BSE股票K线数据接入实战:从接口调用到前端图表展示
大数据·前端·网络·人工智能·websocket·网络协议
ITxiaobing202319 小时前
程序化广告RTB场景下IP地理定位服务的精度与工程架构选型
网络协议·tcp/ip·架构
阿米亚波1 天前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
tiantianuser1 天前
NVME-oF IP 设计2 :设计之前的调研!
网络·网络协议·rdma·roce v2·nvme of