一文彻底搞懂 TSL 流程

1. 什么是 TSL

HTTPS（Hyper Text Transfer Protocol Secure）是基于 HTTP 协议之上的安全通信协议，它使用 TLS 或 SSL 加密协议来保护网络通信的安全性和隐私性。

TLS（Transport Layer Security）是 HTTPS 使用的加密协议，它的前身是 SSL（Secure Sockets Layer），用于在通信双方之间建立安全连接并保护数据的传输。

TLS 协议提供了以下主要功能：

• 加密通信： TLS 使用加密算法对数据进行加密，确保数据在传输过程中不被窃取或篡改。

• 身份验证： TLS 使用数字证书来验证通信双方的身份，确保通信的可信度和安全性。

• 完整性保护： TLS 使用消息摘要算法来验证数据的完整性，防止数据在传输过程中被篡改。

HTTPS 通信的基本流程如下：

• 客户端发起连接： 客户端向服务器发起连接请求，请求建立 HTTPS 连接。

• 服务器响应： 服务器收到客户端请求后，返回一个证书，证书中包含了服务器的公钥等信息。

• 证书验证： 客户端验证服务器返回的证书的有效性，包括验证证书的颁发者、有效期等信息，确保服务器的身份可信。

• 密钥协商： 客户端和服务器协商选择一种加密算法，并交换用于加密通信的密钥。

• 加密通信： 客户端和服务器使用协商好的加密算法和密钥进行数据加密和解密，确保通信的隐私和安全。

2. TSL 流程

TLS 握手过程可以分为四个阶段，每个阶段都涉及到客户端和服务器之间的交互。以下是 TLS 握手的四个阶段：

1.TLS 第一次握手：客户端向服务器发起加密通信请求，发送 ClientHello 消息。

客户端主要发送以下信息：

• 支持的 TLS 协议版本，如 TLS 1.2。
• 客户端生成的随机数（Client Random），用于生成「会话密钥」的一部分。
• 客户端支持的密码套件列表，如 RSA 加密算法。

2.TLS 第二次握手：服务器收到客户端请求后，向客户端发送 ServerHello 消息作为响应。

服务器回应的内容包括：

• 确认的 TLS 协议版本，如果浏览器不支持，则关闭加密通信。
• 服务器生成的随机数（Server Random），用于生成「会话密钥」的一部分。
• 确认的密码套件列表，如 RSA 加密算法。
• 服务器的数字证书（Certificate）。

3.TLS 第三次握手：客户端收到服务器的响应后，首先通过 CA 公钥确认服务器的数字证书的真实性。

如果证书验证通过，客户端从数字证书中取出服务器的公钥，并用该公钥加密报文，向服务器发送以下信息：

• 一个随机数（pre-master key），该随机数将被服务器的私钥解密。
• 加密通信算法改变通知，表示随后的信息都将使用「会话密钥」加密通信。
• 客户端握手结束通知，表示客户端的握手阶段已经结束。

4.TLS 第四次握手：服务器收到客户端的第三次握手消息后，通过协商的加密算法，计算出本次通信的「会话密钥」。

然后，服务器向客户端发送以下信息：

• 加密通信算法改变通知，表示随后的信息都将使用「会话密钥」加密通信。
• 服务器握手结束通知，表示服务器的握手阶段已经结束。
• 客户端和服务器的握手阶段全部结束，建立安全连接，可以开始进行加密通信。

3. CA 签发流程

1.服务方S向第三方机构CA提交申请，其中包括公钥、组织信息和个人信息（域名）等信息，但不包括私钥。

2.CA收到申请后，通过线上、线下等多种手段对提供的信息进行验证，包括但不限于组织的合法性、企业的注册情况、域名的所有权等。

3.经过验证后，如果申请者提供的信息真实有效，CA会签发认证文件，即数字证书。

数字证书包含以下信息：

• 申请者的公钥
• 申请者的组织信息和个人信息（域名等）
• 签发机构CA的信息
• 证书的有效时间
• 证书序列号等信息的明文
• 同时，数字证书中还包含一个签名，用于验证证书的真实性和完整性。

签名的产生算法如下：

• 使用散列函数对公开的明文信息（包括申请者信息、CA信息、有效时间等）计算信息摘要。
• 然后，采用CA的私钥对信息摘要进行加密，得到密文，即签名。

这样生成的数字证书具有CA的数字签名，可以确保证书的真实性和完整性，同时可以被其他方用来验证证书的有效性。