HTTPS通信中的身份认证机制

转自：https://blog.wilddog.com/?p=1185

当你访问一个网站时，有没有想过这个问题：如何保证我的访问能直达目标网站，而没有被中间人攻击和劫持。想要解决这个问题，就得依靠HTTPS中的身份认证机制。

HTTPS的基本概念，我在前面的文章介绍过，可以理解为HTTP+TLS。TLS协议是HTTPS的关键，其设计目标是构建安全的传输层，主要通过数据加密、身份认证、数据完整性来实现，同时还具备高扩展性、兼容性的特点。

本文将介绍HTTPS功能中的身份认证，及其工作机制。

X.509v3证书

X.509是PKI体系中的一个证书标准，PKI体系将在后面的文章中再介绍。RFC文档中有对X.509的详细描述[RFC文档](https://tools.ietf.org/html/rfc5280#section-4.1.1.2) 。当前野狗官网(https://www.wilddog.com)使用的证书格式正是X.509v3。

X.509v3证书由三部分组成：

• tbsCertificate (to be signed certificate)，待签名证书
• SignatureAlgorithm，签名算法
• SignatureValue，签名值

tbsCertificate又包含10项内容，在HTTPS握手过程中以明文方式传输：

• Version Number，版本号
• Serial Number，序列号
• Signature Algorithm ID，签名算法ID
• Issuer Name，发行者
• Validity period，有效时间
• Subject name ，证书主体名称
• Subject Public Key Info ，证书主体公钥信息，包含公钥算法和公钥值
• Issuer Unique Identifier (optional)，发行商唯一ID
• Subject Unique Identifier (optional)，主体唯一ID
• Extensions (optional)，扩展

SignatureAlgorithm是指定对tbsCertificate签名使用的算法。SignatureValue是使用SignatureAlgorithm指定的哈希和签名算法对tbsCertificate进行哈希和签名后的签名值。

可以使用Wireshark抓包查看这些字段信息，结果如下：

如果觉得wireshark操作太复杂，也可以在浏览器上点击导航栏https小图标查看。

如何进行身份认证？

我们以某用户访问野狗官网为例，分析身份认证的过程（以下过程并非完整HTTPS握手过程，只是身份认证相关的过程）。

1. 浏览器向Server发送请求；
2. Server返回野狗官网的X.509v3证书，其包含三部分：tbsCertificate、SignatureAlgorithm、SignatureValue；
3. 浏览器读取证书中的tbsCertificate部分（明文），使用SignatureAlgorithm中的散列函数计算得到信息摘要，并利用tbsCertificate中的公钥解密SignatureValue得到信息摘要，然后对比双方的信息摘要，判断是否一致；如果一致，则成功；如果不一致，则失败。

虽然野狗官网的认证完成，但整个身份认证过程并没有结束，因为还需要认证证书链，这在文章后面将介绍。

身份认证算法

身份认证算法有多种，最常见的是RSA。通过openssl命令可以查看到：
# openssl ciphers –V | column –t

我截取了部分输出结果，其中加密套件是认证、加密、MAC、密钥交换、密钥衍生的组合，如 ECDHE-RSA-AES256-GCM-SHA384，ECDHE做密钥交换、RSA做身份认证、AES256-GCM做加密算法、SHA384做摘要。

RSA如何保证安全性

更直接的说：私钥加密、公钥解密，如何保证整个过程的安全。引用维基百科对RSA的描述：对极大整数做因素分解难度决定了RSA算法的可靠性。换言之，对一极大整数做因数分解愈困难，RSA算法愈可靠。我们来看下RSA的过程：

1. 随机选择两个大的质数p和q，p不等于q，计算N=pq；
2. 根据欧拉函数，求得r=φ(N) = φ(p)φ(q)=(p-1)(q-1)；
3. 选择一个小于r的整数e，使e与r互质。并求得e关于r的模反元素d，ed ≡ 1 (mod r)；
4. 将p和q的记录销毁。
最后得到：(N,e)是公钥，(N,d)是私钥。

使用公钥(N,e)加密明文m，得到密文c
me ≡ c (mod N)
使用私钥(N,d)解密密文c，得到明文m
cd ≡ m (mod N)

真正安全的保证是N不能被分解得到q和p。实际通信中，N通常非常大，比如2的2048次方，这在目前是不能被破解的。

在生成证书时，可以指定RSA的密钥长度；证书使用后，在证书信息中也可以查看。

证书信任链机制

实际上，在HTTPS通信中，Server下发给Client的不仅仅是对端网站的证书，而是一个证书链。这个证书链是从网站证书开始，逐级往上，到根证书。每个证书都被下个证书的私钥签署，每个证书的 Issuer 就是下个证书的 Subject，root CA内置在浏览器中，是被浏览器所信任的。

那么为什么会使用证书链？使用证书链的好处有两个：1.安全，2.保持CA的私钥离线，方便部署和撤销。如果没有证书链，那么当由CA来验证网站的证书时，如何保障这个过程中的CA是可靠的而不是伪造的。这就是证书链的作用。证书链的顶端是内置在浏览器或操作系统中的rootCA，一级一级的信任，保证了最后网站身份的可靠认证。每个证书的证书链往往是多条的，野狗官网证书的证书链有两条。

我们以野狗官网证书的三级证书链为例，wilddog.com证书 –> Go Daddy Secure Certificate Authority证书 –> Go Daddy Root Certificate Authority证书 。浏览器在接收到wilddog.com网站的证书链后，首先会对wilddog.com网站证书认证：

验证完wilddog.com证书后，向上验证中间证书GoDaddy Secure证书，过程与之类似；验证完GoDaddy Secure证书后，继续验证GoDaddy Root证书，因为GoDaddy Root证书是自签名的，是浏览器内置的CA证书，所以是被浏览器所信任的。
这就是证书的信任链，浏览器信任内置CA证书–Go Daddy Root证书，Go Daddy Root证书信任Go Daddy Secure证书，Go Daddy Secure证书信任wilddog.com证书，所以浏览器信任wilddog.com证书。

当然每个浏览器内置的CA列表存在差异，Mozilla的CA证书列表：
http://mxr.mozilla.org/mozilla-release/source/security/nss/lib/ckfw/builtins/certdata.txt

Go Daddy Root证书在Chrome浏览器内置的CA列表中看到。