前言
本文用于总结HTTPS 相关知识,阅读本文 需要有以下先导知识:
1 HTTP协议
2 数字证书
3 对称加密与非对称加密
4 加密算法
使用HTTP协议进行通信的不足及可能的解决措施
1 ️通信使用明文可能会被窃听 => 加密处理防止被窃听 (通信加密、内容加密)
2 ️不验证通信方的身份就可能遭遇伪装 => 查明对手的证书
3 ️无法证明报文完整性,可能已遭篡改 => 散列值、数字签名
HTTP+ 加密 + 认证 + 完整性保护=HTTPS
HTTP & HTTPS
- HTTPS并非是应用层的一种新协议,只是HTTP通信接口部门用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已
- 通常,HTTP直接和TCP通信,当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。
共享秘钥加密&公开秘钥加密
- 共享秘钥加密:加密解密使用同一个秘钥 => 秘钥如何安全交付
- 公开秘钥加密:使用一对非对称的秘钥加密,使用公开秘钥加密方式,发送密文的一方使用对方的公开密钥进行加密处理,对方收到加密的密文之后再使用私钥解密
- HTTPS使用混合加密机制,在交换秘钥阶段使用公开密钥加密方式,之后的建立通信交换报文阶段使用共享密钥加密方式
- SSL 慢的原因:1️⃣ 通信慢 2️⃣消耗CPU及内存资源,导致处理速度变慢
数字证书
解决的问题:如何证明公开密钥的来源 => 数字证书认证
1首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。
2然后服务器会将这份由数字证书认证机构颁发的公钥证书发送给客户端,以进行公开密钥加密方式通信。公钥证书也可叫做数字证书或直接称为证书。
3接到证书的客户端可使用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,客户端便可明确两件事:
一,认证服务器的公开密钥的是真实有效的数字证书认证机构。
二,服务器的公开密钥是值得信赖的。
此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。
MAC(Message Authentication Code)
解决问题:报文完整性 => 报文摘要
HTTPS的安全通信机制
步骤 1: 客户端通过发送 Client Hello 报文开始 SSL通信。报文中包含客户端支持的 SSL的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。
步骤 2: 服务器可进行 SSL通信时,会以 Server Hello 报文作为应答。和客户端一样,在报文中包含 SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤 3: 之后服务器发送 Certificate 报文。报文中包含公开密钥证书。
步骤 4: 最后服务器发送 Server Hello Done 报文通知客户端,最初阶段的 SSL握手协商部分结束。
步骤 5: SSL第一次握手结束之后,客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。
步骤 6: 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器,在此报文之后的通信会采用 Pre-master secret 密钥加密。
步骤 7: 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。
步骤 8: 服务器同样发送 Change Cipher Spec 报文。
步骤 9: 服务器同样发送 Finished 报文。
步骤 10: 服务器和客户端的 Finished 报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到 SSL的保护。从此处开始进行应用层协议的通信,即发送 HTTP 请求。
步骤 11: 应用层协议通信,即发送 HTTP 响应。
步骤 12: 最后由客户端断开连接。断开连接时,发送 close_notify 报文。上图做了一些省略,这步之后再发送 TCP FIN 报文来关闭与 TCP的通信。