TLS连接

最新推荐文章于 2024-04-30 21:49:28 发布
最新推荐文章于 2024-04-30 21:49:28 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: HTTP 文章标签: https http ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41105501/article/details/124534011
版权

TLS连接

在这里插入图片描述

在TCP三次握手后,TLS握手要经历2个RTT:

客户端:

​ Client Hello

​ - 随机数C,客户端的TLS版本号,密码套件列表,扩展列表

服务器:

​ Server Hello

​ - 随机数S,确认TLS版本号和使用的密码套件(ECDHE)

​ - 服务器使用的证书(Server Certificate)

​ - Server Key Exchange 密钥交换算法参数(ECDHE),签名认证

第二个RTT:

客户端:

​ - Client Key Exchange 密钥交换算法参数(ECDHE)

​ - Change Cipher Spec 之后改用会话密钥加密通信

​ - Finished 所有握手数据的摘要

​ - GET/HTTP/1.1 加密的HTTP消息

服务器:

​ - Change Cipher Spec 之后使用会话密钥加密通信

​ - Finished 所有握手数据的摘要

​ - HTTP/1.1 200 OK 加密的HTTP消息

在 TCP 建立连接之后,浏览器会首先发一个“Client Hello”消息,里面有客户端的版本号、支持的密码套件,还有一个随机数,用于后续生成会话密钥。

服务器收到“Client Hello”后,会返回一个“Server Hello”消息。把版本号对一下,也给出一个随机数,然后从客户端的列表里选一个作为本次通信使用的密码套件。然后,服务器为了证明自己的身份,就把证书也发给了客户端(Server Certificate)。接下来,在证书后发送“Server Key Exchange”消息,里面是椭圆曲线的公钥(Server Params),用来实现密钥交换算法,再加上自己的私钥签名认证。

客户端拿到服务器的证书后,开始走证书链逐级验证,确认证书的真实性,再用证书公钥验证签名,就确认了服务器的身份。然后,客户端按照密码套件的要求,也生成一个椭圆曲线的公钥(Client Params),用“Client Key Exchange”消息发给服务器。

现在客户端和服务器手里有了三个随机数:Client Random、Server Random 和 Pre-Master。用这三个作为原始材料,就可以生成用于加密会话的主密钥,叫“Master Secret”。

主密钥有 48 字节,但它也不是最终用于通信的会话密钥,还会再用 PRF 扩展出更多的密钥,比如客户端发送用的会话密钥(client_write_key)、服务器发送用的会话密钥(server_write_key)等等,避免只用一个密钥带来的安全隐患。

有了主密钥和派生的会话密钥,客户端发一个“Change Cipher Spec”,然后再发一个“Finished”消息,把之前所有发送的数据做个摘要,再加密一下,让服务器做验证。

服务器也是同样的操作,发“Change Cipher Spec”和“Finished”消息,双方都验证加密解密 OK,握手正式结束,后面就收发被加密的 HTTP 请求和响应了

vector6_
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
illustrated-tls:图示的TLS连接
04-06
图示的TLS连接 发布在 site/ :成品的页面来源 server/main.go :服务器代码 client/main.go :客户端代码 tlscopy/ :golang的crypto/tls/ lib的副本,以便于提取秘密值 captures/ :PCAP和keylog文件 另请参阅
mqtt-client-Csharp-MQTTnet,tls连接例程
01-06
mqtt-client-Csharp-MQTTnet mqtt-client-Csharp-MQTTnet 是一个用于测试 MQTTnet 的 C# 控制台测试客户端。 提供了通过 TCP 连接到 EMQ 免费公共 MQTT 代理的 TCP 和 TLS 的示例代码。 MQTTnet 是一个高性能的 .NET 库,用于基于 MQTT 的通信。
完全吃透 TLS/SSL
weixin_33726318的博客
06-25 1008
TLS/SLL 是现在网络安全通信比较重要的一环,通过一些列的 key 交换和 key 生成,最终确立加密通道的整个流程。众所周知,TLS/SSL 耗费的时间也是挺可观的,相对于 TCP 的3次 RTT 来说,如果加上 TLS/SSL, 则总的 RTT 时间至少为 4 次。虽然看起来很多,但如果相对于现在的网络环境来说,大概也就每次 20~30ms,这样算下来,估计也就 100ms 左右。这样的时...
HTTPS性能优化方案
凉茶铺的博客
07-25 2625
实际上,很多CA也执行RA的职责。所以Nginx就另外又实现了一套自己的SessionCache系统,这套系统是跨进程的,使用的是共享内存,用红黑树的方式组织的SessionCache,并且对SessionID的定义也重新进行了封装,最终形成了一个跨进程了SessionCache。当你通过一个无线路由器的免费WiFi访问你的网银时,很不幸的,这个免费WiFi也许就是由黑客的笔记本所提供的,他们会劫持你的原始请求,并将其重定向到克隆的网银站点,然后,你的所有的隐私数据都曝光在黑客眼下。...
这么理解TLS协议,以及TLS协议的握手过程
吴就业
05-29 4190
如今HTTPS已被广泛使用,但作为程序员的我们,真的理解这个'S'了吗?如果还没有,这篇入门级介绍或许能帮到你。在TLS(更早期的版本是SSL)出现之前,很多公司为了保证自家产品客户端与服务端信令交互数据安全,或通过基于TCP协议,自定义支持加解密的二进制应用协议(用于APP),或通过加密HTTP协议请求&响应的Body以确保数据安全。无论哪种,通常都是采用对称加...
学习笔记|一篇文章带你全面了解TLS 协议的全流程
Jum的博客
06-29 2286
TLS(英语:Transport Layer Security,缩写作TLS)传输层安全性协议,及其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器,网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布第一版TLS标准文件。随后又公布RFC 5246 (2008年8月)与RFC 6176(2011年3月)
HTTPS连接建立过程
weixin_43047908的博客
05-11 3136
HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议。在 TCP 和 HTTP 之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。身份验证 , 加密Https的加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。
如何建立TLS连接TLS握手失败可能这个原因!
JavaEdge全是干货的技术号
07-24 1120
随着互联网的发展,博客已经成为程序员分享知识和记录成长的重要平台。但是如何才能在众多Java博主中脱颖而出,获得自己的铁粉呢?这里我总结了一些个人的经验。
网络协议(十二):HTTPSSSL/TLSTLS1.2的连接
从基础到源码解析的学习记录
03-08 1394
客户端发送用的会话密钥、服务器发送用的会话密钥等。
HTTP网络协议六:HTTPSTLS连接过程
qq_33960770的博客
04-05 1243
HTTPS介绍 HTTPS(HyperText Transfer Protocal Secure):超文本传输协议,是在HTTP的基础上使用SSL/TLS来加密报文,对窃听和中间人攻击提供合理的防护。 HTTP over TLSHTTP over SSLHTTP Secure HTTPS默认端口是443(HTTP为80) TLS:(Transport Layer Secuity):传输层安全性协议 前身是SSL(Secure Sockets Layer):安全套接字 SSL/TSL:也可
sslkeylog:记录SSLTLS密钥以解密Python中建立的SSLTLS连接
05-21
这是SSLKEYLOGFILE工具的实现,可在Firefox和Chromium / Google Chrome中使用,Wireshark支持此工具,即使您没有私钥,或使用会交换私钥的方法来解密SSL / TLS连接,即使您这样做也要防止解密(例如Diffie-Hellman...
Java-TLS-Connection:使用 Java 通过 TLS 连接到 IP 地址(需要正确的证书、IP 和端口号)
06-08
Java-TLS-连接 使用 Java 通过 TLS 连接到 IP 地址(需要正确的证书、IP 和端口号)
sslpoke:用于测试Java中TLS连接建立的工具
05-14
SSLPoke 使用Java测试与主机的TLS连接的建立。 此版本已得到增强,可以打印与TLSHTTPS相关的所有已知系统和安全性属性。用法: 阳性测试:java -jar sslpoke.jar www.github.com 443 您应该得到以下信息: ...
http实现post请求时本地没问题,线上报413错误、nginx配置免费https、nginx反向代理
“代码农”微信公众号
04-30 711
http实现post请求时本地没问题,线上报413错误、nginx配置免费https、nginx反向代理
boot https ssl 使用http协议访问报错
I do more ,you do less
04-27 373
在springboot中配置ssl以后, 再次使用http访问对应的接口就会报错。可以考虑如下设置,将http访问的端口重定向到https对应的端口。
分享一个网站实现永久免费HTTPS访问的方法
ylfdc168的博客
04-26 1088
免费SSL证书作为一种基础的网络安全工具,以其零成本的优势吸引了不少网站管理员的青睐。
HTTPHTTPS 的区别
m0_61983575的博客
04-27 726
https连接端口,产生公钥私钥,私钥自己保存公钥附带传送,服务器响应请求传递证书给客户端,客户端解析证书,客户端加密之后把key发给服务器作为加密密钥。服务器利用私钥解密。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。如果证书没有问题,客户端就会从服务器证书中取出服务器的公钥A。服务器响应客户端请求,将证书传递给客户端,证书包含公钥和大量其他信息,比如证书颁发机构信息,公司信息和证书有效期等。
(十四)Servlet教程——Servlet中HttpSession的使用
最新发布
04-30 293
如果找到了相应的session对象,则认为是之前标志过的一次会话,返回该session对象,数据达到共享。这里提到一个叫做JSESSIONID的cookie,这是一个比较特殊的cookie,当用户请求服务器时,如果访问了session,则服务器会创建一个名为JSESSIONID,值为获取到的session的sessionid的cookie对象,并添加到response对象中,响应给客户端,有效时间为关闭浏览器。用户访问服务器一次,无论是否读写Session,服务器都认为该用户的Session活跃了一次。
HTTPHTTPS
猫老板的豆
04-30 553
HTTPS:是HTTP的安全版,它在HTTP的基础上加入了SSL/TLS协议,SSL/TLS依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。据ACM CoNEXT数据显示,使用HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电,此外,HTTPS协议还会影响缓存,增加数据开销和功耗,甚至已有安全措施也会受到影响也会因此而受到影响。然而,HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,容易导致数据被窃取或篡改。
Lettuce tls 连接redis
05-12
Lettuce是一种基于Netty的高性能Redis客户端,支持TLS连接。要使用Lettuce与Redis建立TLS连接,需要完成以下步骤: 1. 启用Redis的TLS支持。在Redis的配置文件中,将`tls-port`设置为一个非0的值,并将`tls-cert-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值