最近被问到HTTPs的过程发现,虽然懂一些但是并不是能非常清楚的描述它的完整过程,查询了许多信息之后总算了解了其中的详细过程。学习的过程是一个把别人的东西变成自己的东西。所以,在这里用自己的话描述一下,其中有纰漏的地方还请各位大神指正。
既然是web服务的过程,那自然首先是从浏览器先发起访问
- 浏览器发起HTTPs的访问
client_hello:
首先浏览器访问https服务器,会发送自己一些信息主要包括:
(1)支持的协议版本,比如TLS 1.0
(2)支持的加密算法(Cipher Specs),摘要算法
(3)客户端生成的随机数1(Challenge),稍后用于生成”对话密钥”。 - 服务器收到HTTPs的报文
server_hello:
服务器生成如下信息:
(1) 确认使用的协议版本
(2) 服务器生成的随机数2,稍后用于生成”对话密钥”
(3) session id
(4) 确认使用的加密算法,摘要算法
certificate:
并连同自己的证书发给客户端,其中证书包括的内容有:网站地址,公钥。
server_hello_done:
server hello结束 - 浏览器收到证书报文:
client_key_exchange:
(1)浏览器验证证书的合法性,如果证书是合法或者信任的。
(w)浏览器生成第三个随机数pre-master secret,使用证书的公钥加密该随机数,通过协商的hash算法生成握手消息的摘要信息。
change_cypher_spec:
(3)客户端通知服务器开始使用加密方式发送报文。客户端使用上面的3个随机数client random, server random, pre-master secret, 计算出48字节的master secret, 这个就是对称加密算法的密钥。
finished:
(4)客户端发送第一个加密报文。使用HMAC算法计算收到和发送的所有握手消息的摘要,然后通过RFC5246中定义的一个伪函数PRF计算出结果,加密后发送。 - 服务器收到加密消息
change_cypher_spec:
服务器收到握手消息,通过自己的私钥解密随机数,通过随机数解密握手消息,使用hash算法计算摘要信息,对比hash算法结果与握手消息的hash值是否一致。服务器端发送change_cipher_spec和finished消息,客户端来验证通信过程是否被篡改。
finished:
服务器提供新的Session Ticket,然后发送了一段内容,并且对所有握手内容做摘要,发给客户端来验证通信过程是否被篡改。 - 加密通信
开始使用协商密钥与算法进行加密通信。
参考
http://blog.csdn.net/hherima/article/details/52469674
http://blog.csdn.net/fw0124/article/details/40983787
https://wenku.baidu.com/view/cf5d74d98ad63186bceb19e8b8f67c1cfad6eee4.html
http://blog.csdn.net/xiangjai/article/details/51898657
http://www.cnblogs.com/binyue/p/4500578.html