HTTPS协议是HTTP协议+SSL(安全套接字协议)
HTTPS的核心是对服务器和客户端之间的数据进行了加密,因为对HTTP协议来说,所有的数据都是明文的,这样就不能保证安全性,他人可以很简单的获取,修改发送的数据。因此需要采用一定的方法来对发送的消息进行一定的加密。
四次握手
首先,客户端与服务器之间会互通消息,客户端会向服务器发送消息表明自己支持的协议版本,加密算法以及一个client random,当服务器接受到这个消息后,会把CA,选择的加密算法以及Server random返回给客户端,CA里包含了认证机构,认证时间,服务器的地址以及服务器的公钥。
然后在客户端确认该CA是正确的CA后,解析出服务器发送的公钥,同时使用该公钥加密Premaster random并发送给服务器端。
服务器端接收到后,利用自己的私钥来解密被自己的公钥加密的Premaster random,并利用Client random, Server random和Premaster random生成对话秘钥session key,并用之前协商好的加密算法来进行加密。
需要注意的几点
1 为什么客户端要使用服务器的公钥来加密对称密钥?
因为在握手阶段,传输的还都是明文,他人可以通过截取发送密钥的报文来获取密钥,这样以后即使采用该密钥加密,仍然是可见的。当采用服务器的公钥进行加密时,因为客户端采用了服务器传过来的公钥进行了加密,所以即使截取到这一部分报文,也无法进行解析获取密钥,较直接发送对称密钥还是较为安全的。
2 为什么要使用CA?
即使采用了上述的做法,但是如果有人最开始获取到了服务器发送给客户端的公钥,就可以通过把该公钥换成自己的公钥发送给客户端,这样客户端是采用了自己的公钥加密了它的密钥,当客户端把该加密过的密钥返回给服务器时,之前的那个人可以利用自己的私钥解密客户端的密钥,然后用一开始获取到的服务器公钥进行加密返回给服务器,这样的话服务器可以正确的获取到客户端的私钥,然后两者之间用该密钥进行数据传输,同样是不安全的。
当采用CA后,服务器返回给客户端的是经过证书颁发机构的私钥加密的服务器地址和公钥,这样客户端在接收到数据后,通过同一认证机构的公钥来解密,验证是否是正确的CA,如果是的话,再重复之前的操作。
3 能够保证证书的内容不被篡改?
就像上一点提到的一样,因为证书的公钥是已知的,那么中间人能够通过公钥来破解证书并修改其中的内容,然后再发送给客户端呢?答案是否定的。因为即使中间人篡改了其中的内容,但是因为不知道CA的私钥,无法对修改后的证书进行重新加密。即使采用其他的方法进行了加密,但是客户端将无法解密或者验证时,按证书内的计算方法计算得到的数字签名与收到的数字签名不一致,就可以知道证书是经过中间人篡改的了。
4 这样做就安全了么?
这样做仍然是可能被破解的,因为只要获取到对应服务器的CA上面所做的一切都是无用的了,而CA的颁发机构完全依赖于全球上百个证书颁发机构,如果有黑客从这些机构获取到某些服务器的CA或者这些机构私自售卖一些CA的话,HTTPS协议也不再安全。