SSL/TLS 协议及握手流程

原创 于 2025-04-30 19:29:17 发布
· 648 阅读 · 8 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #网络协议 #网络 #http #golang #后端 #https

一、HTTPS 与 HTTP 的区别

特性HTTPHTTPS
中文名超文本传输协议安全超文本传输协议
协议层应用层应用层 + 加密层
默认端口80443
加密
性能初始握手慢,后续快
安全性明文传输数据加密,防篡改
SEO不友好推荐使用

HTTPS = HTTP + SSL/TLS,具有更高的安全性、信任度。搜索引擎更容易收录。

二、SSL 与 TLS 的区别

项目SSLTLS
最初版本SSL 3.0TLS 1.0(基于 SSL 改进)
当前状态已废弃推荐使用(TLS 1.2/1.3)
安全性存在漏洞更安全、更高效

SSL(secure sockets layer)安全套接字协议,SSL首次发布为3.0版本,在3.0版本升级后,新版本命名为TLS1.0,因此tls是基于ssl的升级版

三、SSL/TLS 工作原理

SSL/TLS 协议的核心功能是建立一个安全可靠的通信通道,确保客户端与服务器之间的数据在传输过程中不被窃听、篡改或伪造。握手过程是实现这一目标的关键阶段,主要完成以下任务:

  • 协商通信使用的协议版本和加密算法
  • 交换密钥信息(用于后续对称加密)
  • 验证服务器身份(有时也验证客户端)
  • 建立共享的加密密钥

以下是基于 TLS 1.2 的完整握手流程

1. ClientHello

客户端发起连接请求,并发送支持的配置参数。

包含内容:
  • 协议版本:如 TLS 1.2 或 TLS 1.3
  • 随机数(Client Random):用于后续生成密钥
  • Session ID(可选):如果之前有会话,尝试恢复之前的上下文
  • 加密套件列表(Cipher Suites):客户端支持的一组加密算法组合(如 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 压缩方法(Compression Methods):旧版中使用,新版已弃用
  • 扩展信息(Extensions):如 SNI(Server Name Indication)、ALPN(应用层协议协商)等
目的:

告知服务器客户端的能力,以便服务器做出合适的响应选择。

2. ServerHello

服务器回应客户端的请求,并确定通信参数。

包含内容:
  • 选定的协议版本:从客户端支持的版本中选择一个
  • 随机数(Server Random):同样用于后续生成密钥
  • Session ID:如果支持会话恢复,则返回该 Session ID
  • 选定的加密套件:从客户端提供的列表中选择一个
  • 压缩方法
  • 扩展信息
目的:

确认双方将使用的通信参数,为后续步骤做准备。

3. 服务器发送数字证书

服务器将自己的数字证书发送给客户端,用于身份验证。

内容:
  • 公钥证书链(包含服务器公钥、域名、CA签名等信息)
  • 可能还包括中间 CA 证书
客户端验证内容:
  • 证书是否由受信任的 CA 签发
  • 证书是否过期
  • 主机名(域名)是否匹配当前访问的目标网站
  • 证书是否被吊销(可通过 CRL 或 OCSP 检查)
目的:

防止中间人攻击,确保客户端正在与真实的服务器通信。

4. 服务器密钥交换

在某些密钥交换方式下(如 ECDHE)需要这一步,用于传递临时密钥参数。

示例:
  • 使用 ECDHE 时,服务器发送自己的临时椭圆曲线公钥
  • 并附上签名,以证明自己拥有证书中的私钥
目的:

确保前向保密特性,即使长期私钥泄露也不会影响历史通信安全。

5. 客户端密钥交换

客户端生成预主密钥(pre-master secret),并使用服务器的公钥进行加密后发送给服务器。

示例:
  • 如果使用 RSA 密钥交换,客户端将 pre-master secret 用服务器的公钥加密
  • 如果使用 ECDHE,客户端发送自己的临时公钥
目的:

让服务器和客户端都能计算出相同的主密钥(master secret),用于后续的对称加密。

6. 更换加密规范

客户端通知服务器:从现在开始所有通信都将使用协商好的加密方式。

注意:

这是一个单独的消息,不是握手协议的一部分,而是属于记录层协议。

7. 加密后的 Finished 消息

客户端发送一条经过加密的 Finished 消息,表示握手已完成,后续通信将全部加密。

服务器收到后也会回复自己的 Finished 消息。
目的:

验证整个握手过程未被篡改,确保通信双方已经正确协商密钥。

8. 握手完成,进入数据通信阶段

此后,所有的 HTTP 请求与响应都通过 TLS 记录层进行加密传输。

  • 加密算法:如 AES-GCM、ChaCha20-Poly1305
  • 消息认证码(MAC):保证数据完整性
  • 所有数据都被分成块进行加密处理

后续握手优化

为了提升性能,TLS 提供两种方式来复用之前的会话:

1. Session ID

  • 服务器为每个会话分配一个唯一 ID
  • 下次连接时若客户端携带相同 Session ID,服务器可以跳过完整握手

2. Session Ticket(更常用)

  • 服务器将加密后的会话状态打包成 ticket 发送给客户端
  • 下次连接时客户端携带 ticket,服务器解密即可恢复会话

四、加密方式对比

1. 非对称加密

  • 使用公钥加密,私钥解密
  • 安全但计算开销大
  • 示例算法:RSA、MD5、SHA128

2. 对称加密

  • 双方使用同一个密钥加解密,密钥泄露后无安全性
  • 计算速度快
  • 示例算法:AES

3. 混合加密(最常用,最实用)

  • 利用非对称加密保护对称密钥
  • 利用对称加密传输数据
  • 保证安全性和性能兼顾

五、中间人攻击与证书机制

中间人攻击(MITM)

  • 攻击者冒充服务器发送伪造公钥
  • 截取客户端加密信息并解密

CA 证书的作用

  • 服务器向可信第三方机构申请证书
  • 证书包含域名、公钥及 CA 数字签名
  • 浏览器内置根证书,验证服务器身份

通过CA的权威性来担保服务器的可信性,从而避免浏览器收到中间人攻击。

鱵沷
关注
传输层安全协议 SSL/TLS 详细介绍
dvlinker的技术专栏
03-25 4677
本文对SSLTLS协议进行一个详细的介绍,以便于大家更直观的理解和认识标准TLS协议
【计算机网络SSL/TLS协议
大雨淅淅的博客
08-23 3660
SSL/TLS协议是用于在互联网上提供安全通信的协议SSL代表安全套接层,而TLS代表传输层安全。这些协议的主要目的是确保数据在客户端和服务器之间传输时的机密性和完整性,同时验证服务器的身份。
SSL握手过程
SeanWXQ的专栏
11-30 1592
一、SSL握手有三个目的:1. 客户端与服务器需要就一组用于保护数据的算法达成一致;2. 它们需要确立一组由那些算法所使用的加密密钥;3. 握手还可以选择对客户端进行认证。二、SSL握手过程:1. 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器;2. 服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,
SSL协议详解
m0_67756456的博客
08-05 7754
SSL)是一个安全协议,为基于TCPTransmission Control Protocol)的应用层协议提供安全连接,SSL介于TCP/IP协议栈第四层和第七层之间。主要提供私密性、完整性和身份验证;我们常见的就是 SSLHTTP协议提供安全连接。SSL协议是一种在两个机器之间提供安全通道的协议,它具有保护数据传输以及识别通信机器的功能。内的愈来愈多的浏览器支持SSLSSL协议成为应用最广泛的安全协议之一。
SSL协议概述和握手过程
hlqhayq的专栏
11-30 2176
SSL协议主要是为了保证WEB通信的安全性,是基于TCP协议SSL协议有三个特性: 1.机密性 SSL协议的机密性主要依靠的是对称加密体质,在通信过程中,使用对称密码进行加密解密保证信息的安全性。 2.完整性 SSL协议的完整性主要依靠的是散列技术,对分组数据进行压缩之后,利用散列函数获得哈希值,加在分组信息的尾部,并且利用对称密码进行加密之后再传输(在传输到TCP层之前还有一个动作
SSL协议握手协议
iteye_5722的博客
12-19 1361
一、握手协议 握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。 每个握手协议包含以下3个字段 1、Type:表示10种消息类型之一。 2、Length:表...
SSL/TLS握手过程
CoderAldrich的专栏
11-13 4168
SSL(Secure Socket Layer)最初是由Netscape公司开发的一个协议,其目的在于为互联网提供一个安全的通信机制。
SSL握手
weixin_43743847的博客
08-05 312
第一次:客户端向服务器发送 TLS/SSL版本号 支持的密码族 压缩方法 Session ID 第二次:服务器向客户端反馈 服务器的电子证书 从客户端中支持的密码族选择的密码族 TLS/SSL版本号 第三次:客户端向服务端反馈,先验证服务的电子证书有效性 生成预备主秘钥,同时用服务器的公钥加密发送;服务器解密预备主密钥,同时生成主秘钥发给客户端,此主密钥为后续数据加密所有,然后通告客户端握手结束;...
SSL连接中握手协议握手过程
vecloud的博客
10-17 3153
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法,选择相互认证,并使用公钥技术来生成共享密钥。a. 客户机生成一个随机数,并使用服务器的公钥(从服务器的证书中获得)对它加密,然后发送到服务器上。步骤1:SSL客户机连接到SSL服务器,并要求服务器验证它自身的身份。
SSL协议详细握手过程
dljthez的专栏
01-20 809
为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议握手协议SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。SSL握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的
SSL/TLS协议简介
最新发布
mickey2007的博客
11-18 3258
SSL(Secure Sockets Layer) 是一种网络安全协议,用于在互联网中保护数据的传输。SSL 协议最初由网景公司(Netscape)开发,旨在为通过互联网传输的数据提供加密保护。由于 SSL 协议存在一些安全问题,它在 1999 年被其继任者 TLS(Transport Layer Security) 取代。尽管 TLSSSL 的继任者,但 SSLTLS 常常被统称为 SSL/TLS,尤其在日常用语中。
SSL/TLS 握手过程
侯仕奇的博客
06-24 1660
SSL/TLS 握手过程是客户端和服务器之间建立安全连接的过程。
SSL/TLS协议
phoenix7670的博客
10-11 2434
SSL被设计用来使用TCP提供一个可靠的端到端安全服务,为两个通讯个体之间提供保密性和完整性(身份鉴别)第四步, 加密, 可供选择的加密算法[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传。第三步,MAC 计算:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传。​ 交换Hello消息,包括协议版本、会话ID、密码套件、压缩算法、初始随机数等;​ 服务器发送证书,交换密钥并请求证书;上层:SSL握手协议SSL改变加密规格协议SSL报警协议
ssl握手学习
swj9099的博客
04-17 489
准备工作 【文档】对于一个协议来说,官方的RFC(Request for Comments)是最权威的。如果想要精通某个协议,详细阅读和理解RFC是必须的功课。SSL通信过程是TLS1.2的内容,RFC5246,应该死磕这个文档。 【工具】要想搞清楚通信握手过程的每一个细节,需要结合拦截的请求进行逐条的分析,此时必须使用wireshark这个工具,可以从这里下载。后面一些截图,即为该软件显示的...
HTTPS协议的详细讲解(四次握手
热门推荐
m0_52165864的博客
05-05 4万+
HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。HTTPS协议是在HTTP的基础上加上了一个协议SSL(Secure Socket Layer,安全套接字层)
SSL原理,SSL握手过程
mocas_wang的博客
11-03 6420
本文非原创,图片等资源都来自原博,仅供学习之用。原博见脚注。 缩略语 英文名称 解释 AES Advanced Encryption Standard 高级加密标准 CA Certificate Authority 证书机构 DES Data Encryption Standard 数据加密标准 HTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议 MAC M...
Wireshark抓包分析SSL握手的过程
清菡的博客
05-19 5370
刚才用图和文字描述讲解了SSL协议的交互过程HTTPS协议--通过SSL协议实现安全保障的过程和原理。用Wireshark抓包进行详细的讲解。抓的是某机构腾讯课堂的首页。(因为网页有变动,所以实际抓包抓到的内容与图片不符。但是图片中抓到的包是正确的,讲解的技术也是正确的。)选择一个TLS的请求,右键--追踪流--TLS。一、就能看到完整的SSL交互的过程:上面是TCP三次...
ssl/tls协议握手
11-17
SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议是一种用于加密网络通信的安全协议,它确保数据在网络传输过程中的安全性和完整性。握手(Handshake)阶段是TLS连接建立的核心步骤: 1. 客户端发起请求:客户端首先向服务器发送一个`ClientHello`消息,包含版本信息、支持的加密算法、压缩方法等,以及随机数(称为“随机选择器”),作为协商的基础。 2. 服务器回应:服务器收到`ClientHello`后,选择合适的加密套件,并生成一个新的随机数(称为“服务器选择器”)。然后,服务器发送一个`ServerHello`消息,包括选定的加密套件以及服务器证书、公钥、随机数等。 3. 服务器认证:服务器通常会附带一个数字证书,其中包含了服务器的身份信息和公钥。客户端验证证书的有效性,如果信任证书签发机构,则继续。 4. 密钥交换:根据选择的加密套件,双方完成密钥交换。如果是RSA,服务器会使用其私钥对客户端提供的随机数进行加密,生成共享的会话密钥;如果是ECDH等更现代的方式,会直接计算出会话密钥。 5. 客户端确认:客户端通过`ChangeCipherSpec`消息通知服务器,将开始使用新的会话密钥加密通信,并在随后的`Finished`消息中提供消息身份验证码(MAC),以验证整个握手过程中数据的完整性和一致性。 6. 双向认证:一些高级配置下,客户端也可能需要向服务器发送类似的身份验证消息,完成双向认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值