HTTPS通信流程:SSL/TLS握手全解析

2021,2022,2023年1-8月看了很多技术书籍,现在想来忘了很多,用到的也不多,但是因为提前接触过,所以很多新东西,接受起来,比预想的要容易些。最近突然想要回忆下HTTPS,居然回忆不起来了,哎。在此记录下。

HTTPS通信过程:

例如:打开https://www.csdn.net/ 的首页

1. 客户端发起请求(ClientHello)

javascript 复制代码
在打开一个https网址时先由客户端发起请求。
内容:客户端自身支持的SSL/TLS(Secure Sockets Layer安全套接层/Transport Layer Security传输层安全)版本,
加密套件列表(如TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256)、随机数(Client Random)。
目的:与服务端协商加密参数,启动安全连接。

2. 服务器响应(ServerHello + Certificate)

javascript 复制代码
内容:
1:ServerHello:服务端选择协议版本,加密套件,生成随机数(Server Random)
2:Certificate:发送数字证书(含公钥,数字签名),证明自身身份。

可选:可选ServerKeyExchange:若使用ECDHE等算法,发送额外密钥交换参数。

客户端会使用此证书内的公钥加密http的内容与服务端通信,而只有作为与公钥配
对的私钥才能解密通信内容,所以全世界只有此服务器可以知道你们的通信内容。除
非密钥泄露,或被破解。

3 客户端验证证书

javascript 复制代码
    证书链校验:验证服务器证书是否由可信CA签发,逐级追溯至根证书。
    有效期检查:确保证书未过期。
    域名匹配:检查证书中的域名(如SAN字段)与访问地址一致。
    吊销检查:通过CRL(证书吊销列表)或OCSP(在线证书状态协议)确认证书未被吊销。

失败处理:若验证失败(如证书过期、域名不匹配),浏览器会警告用户。

4. 密钥交换(ClientKeyExchange)

javascript 复制代码
非对称加密通信阶段:
 客户端生成预主密钥(Pre-Master Secret),用服务器公钥加密后发送。
 服务器用私钥解密,获取预主密钥。
会话密钥生成:
双方基于预主密钥、Client Random、Server Random,通过为随机数函数
(PRF)生成对称加密密钥(Master Secret)

非对称加密安全性高,但是加密性能差,所以用在协商对称加密密钥的阶段。
对称加密密钥协商完毕后,双方切换致基于此密钥的对称加密算法通信。

5. 加密通信开始

javascript 复制代码
    ChangeCipherSpec:双方通知对方切换至协商好的加密算法。
    Finished消息:发送加密的握手完成消息,验证密钥正确性。
    数据传输:使用会话密钥进行AES等对称加密,确保高效安全通信。

PKI(公钥基础设施)之余HTTPS的主要作用:

javascript 复制代码
1:数据加密
2:完整性保护:确保数据完整、未被篡改
3:不可抵赖性、不可否认性
4:身份认证
5:数字证书管理:CA/RA负责证书的签发、更新、吊销及CRL发布。

PKI除了用在HTTPS中,还可以用于:电子邮件、虚拟专用通道、数字文档签名盖章、软件保护、加密狗等领域
相关推荐
林深的林6 分钟前
Http证书体系及证书加密流程(通信流程)
网络协议·http·https
7ACE7 小时前
Wireshark TS | 发送数据超出接收窗口
网络协议·tcp/ip·wireshark
先知后行。7 小时前
网络协议HTTP、TCP(草稿)
网络·网络协议
自由鬼8 小时前
Apache HTTP Server 2.4.49 的目录遍历漏洞CVE-2021-41773
网络协议·http·apache
极地星光10 小时前
TCP/IP 网络编程面试题及解答
网络·网络协议·tcp/ip
Lucky高11 小时前
HTTP和HTTPS复习
网络协议·http·https
hhh123987_14 小时前
以太网基础⑥ ZYNQ PS端 基于LWIP的TCP例程测试
网络·网络协议·tcp/ip
Lfsd14 小时前
根据ip获取地址库
网络·网络协议·tcp/ip
GOATLong19 小时前
传输层协议TCP
c语言·开发语言·网络·c++·网络协议·tcp/ip
DemonAvenger20 小时前
HTTP/2在Go中的实现与优化
网络协议·架构·go