https 建立连接过程
Abstract
https 是基于http 和 ssl(安全套接字层) 的安全传输协议,使用ssl 协议作为会话层协议,这里通过这篇文章结合抓包来看一下具体过程
About SSL / TLS
这个协议最早是由网景公司 开发,但是随着网景的没落,现在由ietf负责维护,最初的版本也已经重新冠名(re-banded)tls(安全传输层协议) 1.0(1999年)。因此现在大部分协议是基于TLS的,尽管是相似的东西。
https 建立简介过程
client say hello
- 客户端浏览器发起握手请求,在ssl 协议头的 content type 设置为 handshake(0x16)。这表明这是一个handshake record。
- 紧接着的2字节是ssl 的版本号。
整个handshake 内容又分为几个部分的消息
- Random 4字节的unix时间格式的 UTC时间(协调世界时),后面紧跟28 bit 的随机数。这个将在后面用到
- Session ID , 这个在client hello 阶段是空,假设我们之前已经与服务端建立过https 链接,那么这个有可能是一个有意义的数字
- Cipher Suites 这里给出了所有浏览器支持的加密协议,最顶部的是浏览器最期望使用的协议。
server_name extension 这里给出客户端正尝试访问的URL。因为ssl发生在http建立连接之前。而服务器可能是一个ip对应多个URL的方式,这个时候是无法区分对应的服务的。(nginx的 TLS NSI 支持)
LVS使用FULLNAT模式,每台Nginx 机器只有一个IP(内网IP),LVS也是把流量转到这个IP。如果Nginx想对多个域名使用https,比如两个域名 wandoujia.com 和 wandoulabs.com ,是可能有问题的。
<