Https连接建立过程

最新推荐文章于 2024-03-15 10:07:23 发布
最新推荐文章于 2024-03-15 10:07:23 发布
阅读量2.7k 收藏 7
点赞数 1
分类专栏: 杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33487412/article/details/81044793
版权

Https的全称是Http over SSL,而SSL是在TCP协议之上的保密层,但是它也是属于传输层的,如果直接传输Http,报文的信息安全是无法被保障的,因为它在应用层的信息传输是明文传输的。

过程

Https传输建立的过程可以分为两个过程,信任建立的过程和连接建立的过程,如果再细分可以分为九个步骤,分别是:

  1. Client Hello
  2. Server Hello
  3. 服务端向客户端发送CA证书
  4. 客服端发送Pre-master Secret
  5. 客户端发送消息:将使用加密通信
  6. 客户端发送:Finished
  7. 服务器发送消息:将使用加密通信
  8. 服务端发送:Finished
  9. 连接正式建立,发送正式报文
Client Hello

https1.PNG

客户端首先会给服务器发送Client Hello, Client Hello中主要包含了以下这几个消息:

  • 客户端可以使用的SSL/TLS版本
  • Ciper Suites
  • 服务器名称
  • 客户端随机数

其中Ciper Suites其实就是Ciper Suite的集合,也就是说Ciper Suites包含了一个或多个Ciper Suite,那么Ciper Suite到底是什么呢?其实就是对称加密算法,非对称加密算法和Hash算法的一个组合,下面就是一个例子

Ciper Suite:AES_RSA_SHA1

Ciper Suites就是几个Ciper Suite的集合,像这样:

AES_RSA_SHA1DES_DSA_MD5AES_RSA_MD5

Server Hello

https2.PNG

客户端收到服务器收到的这一系列消息之后,它会从客户端发送的Ciper Suites中挑选出一个Ciper Suite和SSL/TLS版本,然后和自己生成的客户端随机数一起发送给客户端,就是这几个部分:

  • 服务器挑选出的SSL/TLS版本
  • 服务端挑选出的Ciper Suite
  • 服务端随机数
服务端CA证书验证

https3.PNG

服务端得向客户端证明自己就是刚刚客户端发送消息的那个服务器,而CA证书里面就包含了这样的信息,需要注意的是,服务端发送给客户端的证书包含的信息并不只是证书本身,也包含了给它发证的签发机构的信息。证书包含的信息大概如下:

  • 本身信息
    • 证书信息(域名等)
    • 证书公钥
    • 证书签名算法
    • 证书签名
  • 签发机构证书信息
    • 证书信息
    • 签发机构公钥
    • 签发机构签名算法
    • 签发机构的签发机构

验证证书的过程是这样的:

  1. 证书对自身的证书信息使用证书的签名算法做一个Hash
  2. 利用签发机构的公钥去对步骤1得到的信息做一次验证,如果验证成功则说明CA证书本身的信息是可信赖的,但签发机构自身还需要验证自己是可信赖但
  3. 用客户端自身的证书公钥去对2得到的信息做验证,验证成功则说明证书的签发机构是可信赖的,服务端与客户端的信任就建立起来了,如果验证失败则需要进行提示,如是否信任此证书等等

有些机构,如银行等,可能会对客户端也做一次验证,大致过程和服务端验证相似

客户端发送Pre-master Secret

https4.PNG

Pre-master Secret是由客户端通过自身信息算出来的,客户端将会把Pre-master Secret使用刚刚在证书中获得的证书公钥加密后发送给服务器,服务器收到Pre-master后,客户端和服务器都将协商出一个Master Secret, 因为客户端和服务器都拥有 客户端随机数、服务器随机数、Pre-Master Secret,如图所示

https5.PNG

得到Master Secret之后客户端和服务器将使用 Ciper Suite和Master Secret一起计算出客户端密钥和服务端密钥以及客户端MAC Secret和服务器MAC Secret,如图:

https6.PNG

做完这步之后客户端和服务器会继续建立通信

客户端通知:将使用加密通信

这里其实仅仅只是发送了一个几字节的通知而已,客户端告诉服务器将使用加密通信

https7.PNG

客户端发送Finished消息

https8.PNG

在这里客户端将发送一个Finished消息,这个Finished消息实际上是对上述客户端与服务端发送的消息的一个汇总,用来使服务器来验证客户端是不是刚刚建立信任的客户端,Finished消息结果了两步加工:

  1. 使用HMAC对消息进行HASH
  2. 使用客户端密钥对消息进行加密

HMAC是在获得了客户端MAC Secret和服务端MAC Secret后服务器和客户端都得到的HASH算法

服务端在收到客户端发送的Finished消息后将对消息进行验证,步骤如下:
1. 服务端对之前所有的消息也做一个HMAC
2. 服务端对客户端发送过来的Finished消息进行解密(因为服务端也有客户端密钥)
3. 服务端对1和2得到的消息进行比对,如果一样则说明发送消息的客户端是之前建立起信任的客户端,将进行之后步骤

服务器发送将使用加密通信和Finished消息

这两个步骤其实跟前面客户端发送加密通信和Finished消息是一样的,所有这里就略过了

客户端发送正式的报文

从这个步骤开始客户端和服务器就开始正式的通信了,从应用层看发送的报文的话只会得到这是一个应用层的消息,具体的消息只能看到类似与乱码,与Http明文通信对比十分鲜明。

总结

可以用一张图来概括

https9.PNG

qq_33487412
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
详解https 加密完整过程
10-19
一旦连接建立,通信开始。 2. **握手阶段**: - **Step1**:客户端向服务器发送一个HTTP的`Upgrade`请求,声明要升级到HTTPS,并提供支持的TLS/SSL协议版本和加密套件列表。 - **Step2**:服务器回应一个`TLS ...
HTTPS建立连接详细过程
Jian Sun_的博客
03-10 6826
一、客户端发起https连接 当用户在浏览器(后文称作客户端)地址栏敲击https://www.scwipe.com时(这是我的个人博客,前段时间被攻击,最后直接重置了服务器(不要问我为什么没有备份,我也不知道为什么),一直没有时间重建,各位小小的期待一下吧,之后一定会找时间搭回去的~),浏览器去到DNS服务器获取此url对应的ip,然后客户端连接上服务端的443端口,将此请求发送给到服务端,此时客户端同时将自己支持的加密算法带给服务端; 二、服务端发送证书 在讲这一段之前...
HTTPS建立连接过程
weixin_43844995的博客
07-12 4440
HTTPS建立连接过程
HTTPS连接建立过程
weixin_43047908的博客
05-11 3495
HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议。在 TCP 和 HTTP 之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。身份验证 , 加密Https的加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。
HTTPS 建立连接过程
Beckham的博客
07-15 4191
HTTPS 建立连接过程中,一共发起两次请求,进行非对称和对称两次加密 上图 详细说明一下 整个流程 1.客户端发送一个https的请求到服务端 2.服务端申请配置好数字证书,包含公钥和私钥 3.服务端将证书传送给客户端,证书中包含了很多信息,比如证书的颁发机构,过期时间,网址,公钥等 4.客户端解析证书,由客户端的TLS完成,首先会验证公钥是否有效,比如颁发机构,过期时间等。如果有异常,就会弹出警告信息,并结束通信。如果正常,则生成一个随机值(用于对称加密),然后用服务端的公钥对随机值进
https 建立连接过程分析
大哥一声吼
05-24 1597
从真实的抓包开始根据抓包结果可以看到从客户端发起请求开始,主要经过以下几个过程:1、TCP三次握手2、浏览器发送到服务器3、服务器发送、证书、证书状态、服务端密钥交换,到浏览器4、浏览器发送 客户端密钥交换、、加密的握手信息,到服务端5、服务器发送、加密的握手信息,到浏览器6、之后客户端与服务器使用计算出的master key,通过对称加密(根据前面的密码套件,本次是 AES256 对称加密算法)开始正式https 交互。
VC连接https_ssl
10-14
4. `SSLConnection.cpp`和`SSLConnection.h`:这两个文件很可能定义了一个名为`SSLConnection`的类,这个类负责处理HTTPS连接建立、数据传输以及断开等操作。在C++中,通常使用面向对象的方式封装复杂的网络通信...
客户端使用FileZilla连接ftp服务器过程图解
09-29
**客户端使用FileZilla连接FTP服务器过程详解** FTP(File Transfer Protocol)文件传输协议是一种用于在网络上进行文件传输的标准协议,广泛应用于网站文件的上传和下载。FileZilla是一款开源、免费且功能强大的...
android使用自定义证书的https连接
08-08
本文将详细介绍如何在Android中实现使用.bks格式的自定义证书进行HTTPS连接。 首先,我们需要了解什么是.bks文件。.bks是BlackBerry Key Store的缩写,它是一种用于存储密钥对和证书的文件格式,广泛应用于Java和...
HTTPS连接 解析 ssl
04-22
HTTPS连接是互联网上实现安全通信的一种机制,主要通过SSL(Secure Sockets Layer)或其后续版本TLS(Transport Layer Security)协议来实现。SSL最初由Netscape公司在90年代中期开发,随着时间的发展,Netscape失去...
HTTPS 建立连接过程
zjf535214685的博客
02-20 982
SSL协议通信过程 (1) 浏览器发送一个连接请求给服务器;服务器将自己的证书(包含服务器公钥S_PuKey)、对称加密算法种类及其他相关信息返回客户端; (2) 客户端浏览器检查服务器传送到CA证书是否由自己信赖的CA中心签发。若是,执行4步;否则,给客户一个警告信息:询问是否继续访问。 (3) 客户端浏览器比较证书里的信息,如证书有效期、服务器域名和公钥S_PK,与服务器传回的信息是否...
通俗易懂的TCP,SSL以及HTTPS连接建立过程详解
热门推荐
yxg520s的博客
12-17 1万+
可以参考B站的一个视频,把TLS/SSL的连接建立过程降解的非常透彻。配合这篇博客食用更佳。 1 说明 HTTPS建立在SSL/TCL协议之上,而SSL/TLS是建立在TCP协议之上。 所以HTTPS建立过程可以分解为TCP + SSL/TLS + HTTP协议依次建立连接过程 2 SSL和TLS 2.1 什么是数字证书? 服务端可以向证书颁发机构CA申请证书,以避免中间人攻击(防止证书被篡改)。证书包含三部分内容:tbsCertificate(to be signed certificate)待签名
TCP,SSL以及HTTPS连接建立过程详解
最新发布
qq_64162562的博客
03-15 2104
—以上就是历史背景。合法但不受信任的证书:一个证书可能是完全合法的(比如它是有效的、未过期的、并且正确地签名的),但如果它不是由客户端已知的受信任的CA签发的,客户端还是不会信任它。服务端收到客户端的报文后,会使用私钥进行解密,这样就得到了预主密钥,而且只有客户端和服务端知道这个预主密钥,没有其他人知道(因为预主密钥一旦被公钥加密,只能由私钥加密,反之同理,所以除非私钥泄露了,否则没有人会知道预主密钥)。这个校验确保与客户端交互的服务器是它声称的服务器,并且其证书是受信任的证书颁发机构(CA)签发的。
详解HTTPS连接过程
疯狂撸代码的奋青博客
05-11 5936
SSL建立连接过程 client向server发送请求https://baidu.com,然后连接到server的443端口,发送的信息主要是随机值1和客户端支持的加密算法。 server接收到信息之后给予client响应握手信息,包括随机值2和匹配好的协商加密算法,这个加密算法一定是client发送给server加密算法的子集。 随即server给client发送第二个响应报文是数字证书。服务端必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访
你真的知道HTTPS连接过程
12-14 569
HTTP协议通信过程中使用未经加密的明文,安全性无法得到保证。比如在Web页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。 为了统一解决上述这些问题,需要在HTTP上再加入加密处理和认证等机制。我们把添加了加密及认证机制的HTTP称为HTTPS(HTTP Secure)。 宏观 HTTPS的整个连接过程是相当复杂的,网络、加密等均有涉及,所以我们先从宏观上看一下HTTPS是如何连接的,然后对连接过程中的点进行细化,请看下图 客户端和服务器的协商过程,主要用来确定SSL版本、使用的加密
HTTP 和 HTTPS 的区别(1),Java开发面试问题
m0_60607783的博客
08-29 289
(3) 客户端内置的是 CA 的根证书(Root Certificate),HTTPS 协议中服务器会发送证书链(Certificate Chain)给客户端。 2、数据传输的机密性 客户端和服务端在开始传输数据之前,会协商传输过程需要使用的加密算法。 客户端发送协商请求给服务端, 其中包含自己支持的非对成加密的密钥交换算法 ( 一般是RSA),数据签名摘要算法 ( 一般是SHA或者MD5) ,加密传输数据的对称加密算法 ( 一般是DES),以及加密密钥的长度。 服务端接收到消息之后,选中安全性最高的算法,
简述一次https通信建立的全过程
01-17
HTTPS通信的建立包括以下几个步骤: 第一步,客户端向服务器发起连接请求。...通过以上步骤,客户端和服务器建立了一个安全的HTTPS连接,可以在通信过程中对数据进行加密和解密,从而保护通信内容的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值