SSL
-
安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议。
-
SSL协议的三个特性
Ø 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
Ø 鉴别:可选的客户端认证,和强制的服务器端认证。
Ø 完整性:传送的消息包括消息完整性检查(使用MAC)。
- SSL的位置
HTTPS
-
HTTPS基于SSL的HTTP协议。
-
HTTPS使用与HTTP不同的端口(,一个加密、身份验证层(HTTP与TCP之间))。
-
提供了身份验证与加密通信方法,被广泛用于互联网上安全敏感的通信。
交互过程
客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤,如图所示。
-
客户端请求建立SSL连接,并将自己支持的一套加密规则发送给网站。
-
网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息
-
获得网站证书之后浏览器要做以下工作:
Ø 验证证书的合法性:验证证书的过程,浏览器收到服务器发送的证书后,需要验证其真实性。而证书的签名是通过签名算法和上级CA的私钥生成的,并非很多文章里简单说的靠CA私钥生成。浏览器需要用上级CA的公钥才能解密签名,并与生成的指纹对比,那么问题来了,这个上级CA的公钥从哪来呢?
答案是此公钥来自于证书链该层的上级CA的证书明文内。其中证书和域名是一一绑定的。
Ø 如果证书受信任,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。
Ø 使用约定好的HASH计算握手消息,
Ø 使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站。
- 网站接收浏览器发来的数据之后要做以下的操作:
Ø 使用自己的私钥将信息解密取出密码
Ø 使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。
Ø 使用密码加密一段握手消息,发送给浏览器
-
浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手结束。
-
使用随机密码和对称加密算法对传输的数据加密,传输。
-
密与HASH算法如下:
-
非对称加密算法:RSA,DSA/DSS,用于在握手过程中加密生成的密码。
-
对称加密算法:AES,RC4,3DES,用于对真正传输的数据进行加密。
-
HASH算法:MD5,SHA1,SHA256,验证数据的完整性。
-
HTTP与HTTPS的区别:
-
https协议需要申请证书。
-
http是超文本传输协议,明文传输;https使用的是具有安全性的SSL加密传输协议。
-
http端口80,;https端口443。
-
http连接简单无状态;https由SSL+HTTP协议构件的可进行加密传输、身份验证的网络协议