2021,2022,2023年1-8月看了很多技术书籍,现在想来忘了很多,用到的也不多,但是因为提前接触过,所以很多新东西,接受起来,比预想的要容易些。最近突然想要回忆下HTTPS,居然回忆不起来了,哎。在此记录下。
HTTPS通信过程:
例如:打开https://www.csdn.net/ 的首页
1. 客户端发起请求(ClientHello)
javascript
在打开一个https网址时先由客户端发起请求。
内容:客户端自身支持的SSL/TLS(Secure Sockets Layer安全套接层/Transport Layer Security传输层安全)版本,
加密套件列表(如TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256)、随机数(Client Random)。
目的:与服务端协商加密参数,启动安全连接。2. 服务器响应(ServerHello + Certificate)
javascript
内容:
1:ServerHello:服务端选择协议版本,加密套件,生成随机数(Server Random)
2:Certificate:发送数字证书(含公钥,数字签名),证明自身身份。
可选:可选ServerKeyExchange:若使用ECDHE等算法,发送额外密钥交换参数。
客户端会使用此证书内的公钥加密http的内容与服务端通信,而只有作为与公钥配
对的私钥才能解密通信内容,所以全世界只有此服务器可以知道你们的通信内容。除
非密钥泄露,或被破解。3 客户端验证证书
javascript
证书链校验:验证服务器证书是否由可信CA签发,逐级追溯至根证书。
有效期检查:确保证书未过期。
域名匹配:检查证书中的域名(如SAN字段)与访问地址一致。
吊销检查:通过CRL(证书吊销列表)或OCSP(在线证书状态协议)确认证书未被吊销。
失败处理:若验证失败(如证书过期、域名不匹配),浏览器会警告用户。4. 密钥交换(ClientKeyExchange)
javascript
非对称加密通信阶段:
客户端生成预主密钥(Pre-Master Secret),用服务器公钥加密后发送。
服务器用私钥解密,获取预主密钥。
会话密钥生成:
双方基于预主密钥、Client Random、Server Random,通过为随机数函数
(PRF)生成对称加密密钥(Master Secret)
非对称加密安全性高,但是加密性能差,所以用在协商对称加密密钥的阶段。
对称加密密钥协商完毕后,双方切换致基于此密钥的对称加密算法通信。5. 加密通信开始
javascript
ChangeCipherSpec:双方通知对方切换至协商好的加密算法。
Finished消息:发送加密的握手完成消息,验证密钥正确性。
数据传输:使用会话密钥进行AES等对称加密,确保高效安全通信。PKI(公钥基础设施)之余HTTPS的主要作用:
javascript
1:数据加密
2:完整性保护:确保数据完整、未被篡改
3:不可抵赖性、不可否认性
4:身份认证
5:数字证书管理:CA/RA负责证书的签发、更新、吊销及CRL发布。
PKI除了用在HTTPS中,还可以用于:电子邮件、虚拟专用通道、数字文档签名盖章、软件保护、加密狗等领域