HTTPS建立连接的过程

最新推荐文章于 2024-03-15 10:07:23 发布
最新推荐文章于 2024-03-15 10:07:23 发布
阅读量4.3k 收藏 30
点赞数 6
分类专栏: 计算机网络 文章标签: https 网络 ssl SSL/TLS TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43844995/article/details/125742436
版权
前言

本文为个人学习笔记的整理,其中很多借鉴了小林coding的图解网络。

什么是HTTPS

HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议。

在 TCP 和 HTTP 之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。

HTTPS 协议需要向 CA(证书权威机构)申请数字证书,来保证服务器的身份是可信的。

HTTPS的作用

因为 HTTP 是明文传输,所以会存在以下三个风险,使用起来极其不安全,所以就诞生了 HTTPS,也就是在 HTTP 之上加入了 SSL/TLS 安全协议,来解决 HTTP 的安全问题。

  • 通过信息加密,解决HTTP的窃听风险(由于是明文传输,只要监听通信链路即可获得包内的数据)。
  • 通过校验机制,解决HTTP的篡改风险(对服务器发来的数据没有校验,被篡改了也无法验证)。
  • 通过身份证书,解决HTTP的冒充风险(可以冒充服务器发送数据)。

具体是通过以下三种方式来解决 HTTP 的安全问题的。

混合加密

HTTPS 采用的是对称加密非对称加密结合的「混合加密」方式:

  • 在通信建立前采用非对称加密的方式交换「会话秘钥」,后续就不再使用非对称加密。
  • 在通信过程中全部使用对称加密的「会话秘钥」的方式加密明文数据。

采用「混合加密」的方式的原因:

  • 对称加密只使用一个密钥,运算速度快,但密钥必须保密,无法做到安全的密钥交换。
  • 非对称加密使用两个密钥:公钥和私钥,公钥可以任意分发而私钥保密,解决了密钥交换问题但速度慢。
校验机制:摘要算法+数字签名

在发送内容前,对传输的内容进行摘要算法(哈希函数)计算,得到一个唯一且无法推导的哈希值,即内容的指纹,将哈希值与内容一同发送出去,在接收后再次进行哈希计算,校验哈希值,从而保证内容是完整且未被篡改的。

但是仍然无法保证内容和哈希值都被中间替换过,所以需要再使用私钥加密,公钥解密的非对称加密来解决

在这里插入图片描述

我们常说的数字签名算法,就是用的是这种方式,不过私钥加密内容不是内容本身,而是对内容的哈希值加密

  • 公钥加密,私钥解密。这个目的是为了保证内容传输的安全,因为被公钥加密的内容,其他人是无法解密的,只有持有私钥的人,才能解密出实际的内容;
  • 私钥加密,公钥解密。这个目的是为了保证消息不会被冒充,因为私钥是不可泄露的,如果公钥能正常解密出私钥加密的内容,就能证明这个消息是来源于持有私钥身份的人发送的。
数字证书

通过摘要算法,我们能保证数据的完整性;通过数字签名,我们能保证数据的来源一定是私钥持有者。

但是还缺少了身份验证环节,万一公私钥被替换过,校验仍然可以通过。所以需要对公私钥进行身份验证,HTTPS 规定只有权威机构能够颁发证书,而且拿到证书后也需要进行权威机构的认证。

CA,Certification Authority,数字证书认证机构。数字证书的工作流程如下图所示。

在这里插入图片描述

TLS建立连接过程

在这里插入图片描述

TLS 建立连接的过程,就是客户端向服务器索要并验证 CA公钥,随后双方协商产生会话密钥的过程。

整个过程可以分为七个部分,其中 TLS 的握手过程涉及四次通信。接下来将根据 Wireshark 的抓包结果进行过程的拆分和分析。

在这里插入图片描述

1 TCP三次握手

TLS 层是在 TCP 层之上的,所以在建立 TLS 连接之前,需要先建立 TCP 连接。

2 Client Hello

由客户端向服务器发起建立 TLS 请求,请求的内容包括以下等信息:

  • 客户端支持的 SSL/TLS 协议版本。
  • 客户端生产的随机数(Client Random),后面用于生成会话秘钥的条件之一。
  • 客户端支持的加密套件列表,如 RSA 等加密算法。

在这里插入图片描述

3 Server Hello

服务器收到客户端的建立请求后,向客户端发出响应,回应的内容包括以下等信息:

  • 确认 SSL/ TLS 协议版本(如果浏览器不支持,则关闭加密通信)。
  • 服务器生产的随机数(Server Random),也是后面用于生产会话秘钥的条件之一。
  • 确认的加密套件。
  • 服务器的数字证书。

在这里插入图片描述

因为我这里使用的是DHE/ECDHE加密算法,所以多了一个Server Key Exchange的握手流程。如果是RSA是不会进行该握手流程的。

4 校验数字证书

校验数字证书的过程之前已经讲过了:摘要算法+数字签名

5 客户端回应

客户端会从数字证书中取出服务器的公钥,然后使用它加密报文,向服务器发送以下信息:

5.1 Client Key Exchange:基于前面提到的两个随机数(client random+server random),再生成第 3 个随机数 pre-master,然后通过CA证书中的公钥,对 pre-master 加密,得到 pre-master key,发送给服务器。

5.2 Change Cipher Spec:加密通信算法改变通知,表示客户端随后的信息都将用会话秘钥加密通信。

5.3 Encrypted handshake message:这一步对应的是 Cleint 的 Finish 消息,client 将前面握手的消息生成摘要,再用协商好的会话秘钥进行加密,这是客户端发出的第一条加密消息, 服务端接收后会用会话秘钥解密,能解出来说明前面协商的秘钥是一致的,至此客户端的握手完成。

会话密钥是用双方协商的加密算法和三个随机数:client random、server random、pre-master key 生成的。

在这里插入图片描述

6 服务器回应

服务器使用自己的 CA证书私钥对 pre-master key 解密得到 pre-master,再计算出会话密钥,随后向客户端发送以下信息:

6.1 Change Cipher Spec:加密通信算法改变通知,表示服务端随后的信息都将用会话秘钥加密通信。

6.2 Encrypted handshake message:这一步对应的是 Server 的 Finish 消息,服务端会将握手过程消息生成摘要,然后再用会话密钥加密,这是服务器发出的第一条加密消息,客户端接收后会用会话密钥解密,能解出来就说明协商成功。

在这里插入图片描述

7 TCP四次挥手

至此,整个 SSL/TLS 的握手阶段全部结束,TCP 四次挥手断开连接。

接下来,客户端与服务器进入加密通信,就完全是使用普通的 HTTP 协议,只不过用会话秘钥加密内容。

贪玩的木木
关注
  • 6
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http转https的实战记录(iis 7.5)
01-02
什么是https SSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。 SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能
HTTPS连接建立过程
weixin_43047908的博客
05-11 3142
HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议。在 TCP 和 HTTP 之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。身份验证 , 加密Https的加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。
HTTPS建立连接详细过程
hobby云说
02-17 1万+
一、客户端发起https连接 当用户在浏览器(后文称作客户端)地址栏敲击https://www.scwipe.com时,浏览器去到dns服务器获取此url对应的ip,然后客户端连接上服务端的443端口,将此请求发送给到服务端,此时客户端同时将自己支持的加密算法带给服务端; 二、服务端发送证书 在讲这一段之前插播一条小知识点:私钥加密的密文只有公钥才能解开;公钥加密...
TCP,SSL以及HTTPS连接建立过程详解
最新发布
qq_64162562的博客
03-15 1453
—以上就是历史背景。合法但不受信任的证书:一个证书可能是完全合法的(比如它是有效的、未过期的、并且正确地签名的),但如果它不是由客户端已知的受信任的CA签发的,客户端还是不会信任它。服务端收到客户端的报文后,会使用私钥进行解密,这样就得到了预主密钥,而且只有客户端和服务端知道这个预主密钥,没有其他人知道(因为预主密钥一旦被公钥加密,只能由私钥加密,反之同理,所以除非私钥泄露了,否则没有人会知道预主密钥)。这个校验确保与客户端交互的服务器是它声称的服务器,并且其证书是受信任的证书颁发机构(CA)签发的。
独立部署小程序基于nodejs的服务器过程详解
01-01
前言 完全自定义的部署小程序服务器, 不依托于腾讯云服务器体系. 以阿里云服务器为基础建立. 服务器语言选用nodejs. 目的 实现https基本访问请求 实现会话管理 实现socket长连接 一个基于socket的小游戏 源代码在这里: 基础要求 有一台服务器(在外网能访问的服务器) 有一个已经备案的域名(必须备案) 有一个已经申请的https证书域名(二级即可) 客户端代码: 我的实验环境: 服务器:阿里云云服务器ecs 备案域名: 9z9z.vip https证书(ca证书): (免费型DV SSL) https证书申请域名: wu
在本地KEIL环境建立mBedOS调试环境
02-24
在线集成开发环境、命令行开发环境、以及第三方开发环境。一般开发人员,都喜欢在本地建立工程,使用自己熟悉的开发环境进行开发。下面以KEIL集成开发环境+NuMaker-PFM-NUC472开发板为例,介绍初次建立开发环境过程。下面的内容源自https://os.mbed.com/docs/v5.6/introduction/index.html,以及关联网页。https://os.mbed.com/platforms/列出了支持的开发板进入开发介绍页面,页面中有开发板介绍,相关WINDOWS串口驱动连接、ICE固件库升级包(一般不用升级)、DAPLink固件升级链接等信息,还有使用手册等内容。关
HTTP 和 HTTPS 的区别(1),Java开发面试问题
m0_60607783的博客
08-29 274
(3) 客户端内置的是 CA 的根证书(Root Certificate),HTTPS 协议中服务器会发送证书链(Certificate Chain)给客户端。 2、数据传输的机密性 客户端和服务端在开始传输数据之前,会协商传输过程需要使用的加密算法。 客户端发送协商请求给服务端, 其中包含自己支持的非对成加密的密钥交换算法 ( 一般是RSA),数据签名摘要算法 ( 一般是SHA或者MD5) ,加密传输数据的对称加密算法 ( 一般是DES),以及加密密钥的长度。 服务端接收到消息之后,选中安全性最高的算法,
https建立过程
程序媛的梦工厂
07-29 2217
首先知道http和https有什么区别? http使用端口80,https使用端口443 http运行在TCP协议上,所传输的内容那个都是明文,https运行在SSL/TLS上,SSl/TLS是运行在TCP上,所传输的内容是经过加密的 https需要购买证书 http + 加密 + 认证 + 完整性保护 = https https建立过程过程既使用了 对称加密也使用了非对称加密。在交换...
HTTPS创建连接过程详解
Bazainga的博客
11-27 932
现今https对一个网络服务来说是必备的,但之前一只对https浏览器与服务器建立连接的握手过程一知半解,下面进行一下总结: 上面是一张建立https连接的流程图,建立连接过程如下: 1:客户端发送一个随机生成的随机数加上将客户端所支持的所有加密套件发送给服务端,服务端收到客户端的client hello 将随机数保存下来。 2:服务端在保存完客户端的随机数据之后自己也生成一个随机数,并...
HTTPS具体流程
m0_46364778的博客
05-20 1万+
【前两天被同学问到了这个问题,结果自己答成了三握...炒鸡尴尬,所以特此学习记录一下】 三次握手是建立TCP可靠通信的~ HTTPS通信流程环节 HTTPS通信主要包括几个节点,发起请求、验证身份、协商秘钥、加密会话,具体流程如下(此例子只有客户端对服务端的单向验证):   1、客户端向服务端发起建立HTTPS请求。   2、服务器向客户端发送数字证书。   3、客户端验证数字证书,证书验证通过后客户端生成会话密钥(双向验证则此处客户端也会向服务器发送证书)。   4、服务器生成会话密钥(
利用Docker搭建本地https环境的完整步骤
01-10
什么是 HTTPS 我们都知道 Web App 的运行都是建立网络应用层 HTTP 协议的,HTTP 协议能够进行客户端和服务器之间的请求和返回。但是这个过程是明文传输的,当请求被抓包后传输内容很容易被篡改,这对用户的安全性来说是极其严重的威胁。PWA 应用出于安全性的考虑要求项目必须部署在 HTTPS 环境。 那么 HTTPS 是什么呢? HTTPS 是将 HTTP 置于 SSL/TLS 之上,其效果是加密 HTTP 流量( traffic ),包括请求的 URL、结果页面、cookies、媒体资源和其他通过 HTTP 传输的内容。企图干扰 HTTPS 连接的人既无法监听流量,也无法更改其
android-async-tls-socket:简单易用的异步套接字从 Android 手机建立 TLS 连接
06-05
android-async-tls-socket 简单易用的异步套接字从 Android 手机建立 TLS 连接。 由于缺乏在 Android 上实现这一目标的简单快速方法而感到沮丧,而 Android 的重点似乎只放在 https 上。 而 SSLEngine 似乎有点...
SSL协议原理详解
热门推荐
曹世宏的博客
04-18 11万+
SSL 可参考:SSL技术原理 SSL简介 SSLTLSSSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3. TLS(Transport Layer Security)安全传输层协...
HTTPS 请求过程
05-27 5641
一、HTTPS 加密过程 概念 HTTP 协议(HyperText Transfer Protocol,超文本传输协议):是客户端浏览器或其他程序与 Web 服务器之间的应用层通信协议 。 HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为 HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。 CA(Cer
通俗易懂的TCP,SSL以及HTTPS连接建立过程详解
yxg520s的博客
12-17 1万+
可以参考B站的一个视频,把TLS/SSL连接建立过程降解的非常透彻。配合这篇博客食用更佳。 1 说明 HTTPS建立SSL/TCL协议之上,而SSL/TLS建立在TCP协议之上。 所以HTTPS建立过程可以分解为TCP + SSL/TLS + HTTP协议依次建立连接过程 2 SSLTLS 2.1 什么是数字证书? 服务端可以向证书颁发机构CA申请证书,以避免中间人攻击(防止证书被篡改)。证书包含三部分内容:tbsCertificate(to be signed certificate)待签名
详解HTTPS连接过程
疯狂撸代码的奋青博客
05-11 5722
SSL建立连接过程 client向server发送请求https://baidu.com,然后连接到server的443端口,发送的信息主要是随机值1和客户端支持的加密算法。 server接收到信息之后给予client响应握手信息,包括随机值2和匹配好的协商加密算法,这个加密算法一定是client发送给server加密算法的子集。 随即server给client发送第二个响应报文是数字证书。服务端必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访
Https连接过程详解
成长的烧年
03-28 1万+
概述 HTTPS相比较于HTTP而言,就是多了一个S,这个S我们可以称之为安全,说得通俗一点就是加密通信的HTTP而已。说的简单一点,就是每次通信,通信双方都会使用加密之后的数据通信。 连接 HTTPS连接大致可以分为5个步骤,我也是经过学习和看不同的资料才稍微有些感触,如果有不对的地方,请轻喷。 大致可以分为7个部分: Client Hello Server Hello 服务器发送证书 客户...
https 建立连接过程分析
大哥一声吼
05-24 1522
从真实的抓包开始根据抓包结果可以看到从客户端发起请求开始,主要经过以下几个过程:1、TCP三次握手2、浏览器发送到服务器3、服务器发送、证书、证书状态、服务端密钥交换,到浏览器4、浏览器发送 客户端密钥交换、、加密的握手信息,到服务端5、服务器发送、加密的握手信息,到浏览器6、之后客户端与服务器使用计算出的master key,通过对称加密(根据前面的密码套件,本次是 AES256 对称加密算法)开始正式https 交互。
简述一次https通信建立的全过程
01-17
HTTPS通信是一种安全的通信协议,它通过对数据进行加密来保护通信内容的安全性。...通过以上步骤,客户端和服务器建立了一个安全的HTTPS连接,可以在通信过程中对数据进行加密和解密,从而保护通信内容的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值