本文深入解析HTTPS协议,介绍了HTTPS的概念、SSL/TLS的作用、OpenSSL的使用,以及HTTPS的通信过程,包括TCP三次握手、TLS连接的详细步骤,探讨了HTTPS的成本和实际应用中的策略。
前言
💫你好,我是小航,一个正在变秃、变强的大三党。本文主要讲解HTTPS
如果您对本文感兴趣,欢迎大家的收藏和关注!最后祝大家中秋节快乐!哈哈哈😂🤣~
一、HTTPS是什么?
我们经常在网址上看到:
HTTPS (HyperText Transfer Protocol Secure),译为:超文本传输安全协议
- 常称为 HTTP over TLS、HTTP over SSL、HTTP Secure
- 由网景公司于1994年首次提出
- HTTPS的默认端口号是
443(HTTP是80)
现在我们启动浏览器并打开F12打开控制台,输入http://www.baidu.com
发现网页自动重定向到了https://www.baidu.com
二、SSL / TLS
再讲HTTPS之前,我们先来聊一聊SSL、TLS
HTTPS 是在 HTTP 的基础上使用 SSL/TLS来 加密报文,对窃听和中间人攻击提供合理的防护
SSL/TLS 也可以用在其他协议上,比如
- FTP → FTPS
- SMTP → SMTPS
TLS (Transport Layer Security),译为:传输层安全性协议
前身是 SSL (Secure Sockets Layer),译为:安全套接层
历史版本信息
- SSL 1.0:因存在严重的安全漏洞,从未公开过
- SSL 2.0:1995年,已于2011年弃用 (RFC 6176)
- SSL 3.0:1996年,已于2015年弃用 (RFC 7568)
- TLS 1.0:1999年 (RFC 2246)
- TLS 1.1:2006年 (RFC 4346)
- TLS 1.2:2008年 (RFC 5246)
- TLS 1.3:2018年 (RFC 8446)
小细节:TLS的RFC文档编号都是以46结尾
那么SSL/TLS 工作在哪一层?
OpenSSL
OpenSSL 是SSL/TLS协议的开源实现,始于1998年,支持Windows、Mac、Linux等平台
- Linux、Mac 一般自带 OpenSSL
- Windows下载安装OpenSSL:
https://slproweb.com/products/Win32OpenSSL.html
常用命令
- 生成私钥:openssl genrsa -out mj.key
- 生成公钥:openssl rsa -in mj.key -pubout -out mj.pem
可以使用 OpenSSL 构建一套属于自己的CA,自己给自己颁发证书,称为“自签名证书”
三、HTTPS的成本
- 证书的费用
- 加解密计算
- 降低了访问速度
有些企业的做法是:包含敏感数据的请求才使用HTTPS,其他保持使用HTTP
- http://www.icbc.com.cn/icbc/ 【静态网页每个人都可以看的,就不需要加密了】
- https://mybank.icbc.com.cn/
四、HTTPS的通信过程
总的可以分为3大阶段
·① TCP的3次握手
·②TLS的连接
·③ HTTP请求和响应
这里我们重点讲述②
TLS1.2 的连接大概有10大步骤:(图中省略了中间产生的一些ACK确认)
为了更清楚的看到每个具体过程,我们打开wireshark,使用捕获过滤器
输入tcp port 443
wireshark过滤器分为两种,显示过滤器和捕获过滤器。显示过滤器指的是针对已经捕获的报文,过滤出符合过滤规则的报文;捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文
我这里进入WLAN2(根据个人网卡情况而定)
我们还是以baidu.com为例,浏览器打开并获取真实IP地址:
停止抓包,选择过滤ip地址为:39.156.66.14
接下来,我们分析每一步的过程:
① Client Hello
- TLS的版本号
- 支持的加密组件 (Cipher Suite) 列表
- 加密组件是指所使用的加密算法及密钥长度等
- 一个随机数 (Client Random)
② Server Hello
- TLS的版本号
- 选择的加密组件是从接收到的客户端加密组件列表中挑选出来的
- 一个随机数 (Server Random)
③ Certificate
- 服务器的公钥证书(被CA签名过的)
④ Server Key Exchange
- 用以实现ECDHE算法的其中一个参数 (Server Params)
ECDHE是一种密钥交换算法- 为了防止伪造,Server Params 经过了服务器私钥签名
⑤ Server Hello Done
- 告知客户端:协商部分结束
目前为止,客户端和服务器之间通过明文共享了 Client Random、Server Random、Server Params,而且,客户端也已经拿到了服务器的公钥证书,接下来,客户端会验证证书的真实有效性
⑥ Client Key Exchange
- 用以实现ECDHE算法的另一个参数 (Client Params)
目前为止,客户端和服务器都拥有了ECDHE算法需要的2个参数:Server Params、Client Params
客户端、服务器都可以使用ECDHE算法根据Server Params、Client Params计算出一个新的随机密钥串:Pre-master secret,然后结合 Client Random、Server Random、Pre-master secret 生成一个主密钥,最后利用主密钥衍生出其他密钥:客户端发送用的会话密钥、服务器发送用的会话密钥等
⑦ Change Cipher Spec
- 告知服务器:之后的通信会采用计算出来的会话密钥进行加密
⑧ Finished
- 包含连接至今全部报文的整体校验值(摘要),加密之后发送给服务器
- 这次握手协商是否成功,要以服务器
是否能够正确解密该报文作为判定标准
⑨ Change Cipher Spec ⑩ Finished
到此为止,客户端服务器都验证加密解密没问题,握手正式结束,后面开始传输加密的HTTP请求和响应
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
