摘自http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
1.不使用SSL/TLS协议的HTTP通信的风险。
①窃听风险
②冒充风险
③篡改风险
2.SSL/TLS协议解决风险的办法
①加密传播
②身份证书
③校验机制
3.SSL协议思想是基于传输控制层协议建立一个安全的网络连接层
4.SSL/TLS协议的基本过程
①客户端向服务器端索要公钥
②双方协商生成对话密钥
③使用对话密钥进行加密通信
其中①②称为握手阶段
5.握手阶段
①客户端发出请求(clientHello)
(1) 支持的协议版本,比如TLS 1.0版。
(2) 一个客户端生成的随机数,稍后用于生成"对话密钥"。
(3) 支持的加密方法,比如RSA公钥加密。
(4) 支持的压缩方法。
②服务器端回应(serverHello)
(1) 确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。
(2) 一个服务器生成的随机数,稍后用于生成"对话密钥"。
(3) 确认使用的加密方法,比如RSA公钥加密
(4) 服务器证书。
③客户端回应
(1) 一个随机数。该随机数用服务器公钥加密,防止被窃听。
(2) 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
(3) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。
本次随机数是整个握手阶段出现的第三个随机数,又称"pre-master key"。有了它以后,客户端和服务器就同时有了三个随机数,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把"会话密钥"。
④服务器端最后回应
(1)编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。