HTTPS 原理初探

HTTPS 简单来说就是 HTTP 的安全通信方式,即 HTTP + SSL/TSL 协议。

主机信任

单向认证

HTTPS 中客户端通过证书来校验服务器,只有校验通过客户端和服务器才能建立通信。
首先我们需要从CA (Certificate Authority) 申请自己的证书(带私钥),然后将证书保存在服务器。客户端的系统中已经内置所有带公钥的 CA 证书。(下文的证书皆指 CA 证书,自建证书需要自己将带公钥的证书导入到客户端,其他和 CA 证书一样)

OS X 系统上的 CA 证书

HTTPS 原理初探_第1张图片
根证书.png

在建立通信的时候服务器会把证书发送给客户端,客户端会校验服务器发送过来的证书的合法性。包括:

  • 证书是否在有效期内
  • 发行证书的机构是否可靠
  • 本地证书的公钥能否解开服务器证书的数字签名
  • 服务器证书上的域名和服务器的实际域名是否匹配

如果校验通过,则客户端信任该服务器并继续之后的通信流程。

双向认证

HTTPS 单向认证只需要客户端对服务器进行认证,而双向认证则是服务器也需要对客户端进行认证。
双向认证时客户端会存放另一个证书(带私钥),在客户端验证服务器之后,客户端会将自己的证书发送给服务器,让服务器对其身份进行校验。

SSL协议握手过程

SSL 协议分为两层,SSL记录协议和 SSL 握手协议。
SSL 记录协议在可靠传输协议之上,随数据进行封装,压缩等。
SSL 握手协议在客户端和服务器通信之前,对双方身份进行认证,协商加密算法,交换加密密钥等。主要步骤如下:

  1. 客户端向服务器发起请求,传送 SSL 协议版本号,支持的加密算法,随机数 (random1) 等信息
  2. 服务器向客户端传送选中的加密算法,随机数 (random2) 以及证书
  3. 客户端验证证书的合法性,验证通过之后取出证书中的公钥
  4. 客户端产生一个新的随机数(random3),并用步骤3拿到的公钥对 random3 进行加密生成预主密钥,然后发送给服务器
  5. 服务器用私钥解密预主密钥得到 random3 ,现在服务器和客户端同时拥有了三个随机数(random1,random2,random3)
  6. 客户端和服务器根据三个随机数并用同一套算法生成对称密钥,用于之后通信的加解密
  7. 客户端和服务器相互确认握手结束,进行数据传输
HTTPS 原理初探_第2张图片
SSL 单向认证握手

双向认证的握手过程基本和上面一样,只是在步骤4之前,客户端会先将自己的证书发送给服务器进行校验。

完整的双向认证的认证的过程如下图所示:

HTTPS 原理初探_第3张图片
SSL 双向认证握手

总结

以上就是本人对 HTTPS 原理理解的总结,如果有不妥或者不明白的地方欢迎大家留言。
以前总是在网上看被人写的文章,每每读到写的好的文章时都觉得很赏心悦目,条理清晰,通俗易懂,通过这些文章自己也是受益良多。见贤思齐焉,因此我也打算以文章的形式记录下自己学过的东西。一来可以更好的巩固和梳理知识,且方便以后回顾复习。二来可以提升自己的写作和表达能力。

参考资料

SSL/TLS 握手过程详解

九个问题从入门到熟悉HTTPS

你可能感兴趣的:(HTTPS 原理初探)