http和https的区别 与 SSL/TLS协议运行机制的概述

http和https的区别 与 SSL/TLS协议运行机制的概述

参考1

1 http 是不使用的SSL/TSL的通信通道

• 窃听风险：第三方获取通信内容
• 篡改风险：修改通信内容
• 冒充风险：冒充他人身份参与通信

2 SSL/TSL 协议应运而生

客户端先向服务器端索要公钥，然后用公钥加密信息，服务器收到密文后，用自己的私钥解密。

• 如何保证公钥不被篡改 ？

  解决方法：将公钥放在数字证书中。只要证书是可信的，公钥就是可信的。

• 公钥加密计算量太大，减少消耗时间

  每一次对话（session），客户端和服务器端都生成一个"对话密钥"（session key），用它来加密信息。由于"对话密钥"是对称加密，所以运算速度非常快，而服务器公钥只用于加密"对话密钥"本身，这样就减少了加密运算的消耗时间。

3 https 握手的流程

3.1 客户端发出请求，向服务端提供以下信息

• 1 支持协议版本 比如TLS 1.0版。
• 2 客户端生成的随机数，用于生成对话秘钥
• 3 支持的加密方法
• 4 支持的压缩方法

3.2 服务器的回应

• 1 确认使用的加密通信协议版本，比如TLS 1.0版本
• 2 一个服务器生成的随机数，稍后用于生成"对话密钥"
• 3 确认使用的加密方法，比如RSA公钥加密
• 4 服务器证书

3.3 客户端收到服务端之后的响应 。

首先验证服务器证书。如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期，就会向访问者显示一个警告，由其选择是否还要继续通信。

如果证书没有问题，客户端就会从证书中取出服务器的公钥。然后，向服务器发送下面三项信息。

• 1 一个随机数。该随机数用服务器公钥加密，防止被窃听。
• 2 编码改变通知，表示随后的信息都将用双方商定的加密方法和密钥发送。
• 3 客户端握手结束通知，表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值，用来供服务器校验。

3.4 服务器最后的响应

• 1 编码改变通知，表示随后的信息都将用双方商定的加密方法和密钥发送。
• 2 服务器握手结束通知，表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值，用来供客户端校验。

4 为什么要三个秘钥？

不管是客户端还是服务器，都需要随机数，这样生成的密钥才不会每次都一样。由于SSL协议中证书是静态的，因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性，如果随机数不随机，那么秘钥可能被猜出来，可是是三个伪随机就十分接近随机了。

5 所以归纳来说就是三个步骤，整个过程是采用对称+非对称的加密算法

1 客户端向服务器端索要并验证公钥。

2 双方协商生成"对话密钥"

3 双方采用"对话密钥"进行加密通信。

6 关于CA证书

该证书包含了公钥等信息，一般是由服务器发给客户端，接收方通过验证这个证书是不是由信赖的CA签发，或者与本地的证书相对比，来判断证书是否可信；假如需要双向验证，则服务器和客户端都需要发送数字证书给对方验证。