HTTPS加密过程详解

一、前言

http是为了解决http存在的问题而在http基础上加入了SSL/TSL，在HTTP/2中TCP三次握手后会进入SSL/TSL握手，当SSL/TSL建立链接后，才会进行报文的传输。（注意这里我说的是http/2，在3中建立链接的次数不同，可在下面补充内容中查看，下面默认是http/2）

二、HTTPS的混合加密

我们知道加密方式有三种

• 对称加密
• 非对称加密
• 混合加密

HTTPS采用的就是对称加密和非对称加密的混合加密方法。

• 混合加密解决了信息的机密性，防止数据被窃听
• 摘要算法实现了数据的完成性，防止了数据被篡改
• 数字证书提供了身份验证，防止了被冒充风险

1、摘要算法

客户端在向服务器端发送明文的时候，会通过摘要算法计算出明文的摘要，为了通俗来讲，我们将计算出的摘要比喻成身份证。然后客户端将明文和身份证通过密钥进行加密传给服务器端。服务器端会通过密钥解密客户端发来的数据，此时明文已经被解密出来，身份证呢？服务器端也会使用摘要算法计算出传来数据的身份证，然后将计算出的身份证和传过来的身份证进行比较，如果身份证相同，那么就说明数据是完整的。

2、混合加密和数字证书

在这里我们将混合加密和数字证书放到一块讲解，可能有人会疑问数字证书是什么？其实数字证书是第三方权威机构给颁发的一种认证证书，在https通信时，会去申请这个数字证书，同时伪造数字证书是一件极其难的事情，所以我们认为证书是可信的，那么其公钥（下面会讲）就是可信的。

https在建立链接时是非对称加密，建立链接后是对称加密，（不懂对称加密和非对称加密的小伙伴可自行查阅哦）具体详细请看下面的一张图：

• 1、首先呢，客户端先向服务端发送加密通信(https)请求，这次请求中包括：
  • SSL/TSL版本号
  • 加密套件，也就是客户端支持的加密算法列表
  • 产生一个随机数，我们叫他为第1随机数
  • 有一个Client Hello字符串
• 2、服务器收到请求后，向客户端发出响应：
  • 确认SSL/TSL版本号，如果客户端不支持，那么就关闭通信
  • 确认的加密算法列表
  • 生成一个随机数，我们叫第2随机数
• 3、服务器再向客户端发送数字证书，这里敲重点了。服务器会把自己的公钥注册到CA(第三方证书机构)，然后CA拿自己的私钥对服务器的公钥进行处理并颁发数字证书。
• 4、服务器将公钥发送给客户端
• 5、服务器发送Hello Done，表示发送完毕
• 6、客户端收到服务端一系列响应后，确认数字证书和公钥，没有问题后向服务端发送：
  • 生成一个随机数，我们叫第3随机数或者预主密钥，此预主密钥会通过公钥进行加密
  • 客户端握手结束通知，表示客户端的握手结束
• 7、服务端收到客户端数据后，使用私钥对加密后的预主密钥进行解密，没有其他人知道预主密钥，因为它加密了，除非服务器私钥泄漏。然后服务端通过第一、二、预主密钥计算出会话密钥。客户端也计算出了会话密钥。
• 8、服务端向客户端发送：
  • 加密通信算法改变通知，以后通过会话密钥通信
  • 服务端握手结束

到此为止，SSL/TSL握手结束，在此之后都会通过会话密钥来进行加密和解密，也就是对称加密。

有小伙伴可能会说，https建立链接的过程太麻烦了吧。这里我想说，世界上没有事事都完美的东西，我们在不断优化的过程中，解决上一个问题可能也会产生新的问题，其实这也是世间万物的发展规律。

三、补充

1、在http/1.1中加入了TCP长连接通信，每当建立起链接后，只要任意端口没有明确提出断开链接，TCP就会保持链接状态，大大减少了频繁建立链接的开销。

2、在http/2中，相对于http/1.1改进了一些内容：
- 头部压缩。http/2中会压缩头，如果客户端发送多个请求，头是相似或者相同，那么协议会消除重复的部分，减免了不必要的浪费。
- http/1.1中报文是文本格式，在http/2中报文是二进制格式，大大加快了传输效率。
- http2中使用了多路复用，解决了队头堵塞问题。什么是队头堵塞？在http/1.1中，队头堵塞指的是在TCP请求时，请求因为某种原因被阻塞，那么后面的请求无法继续进行（因为TCP是可靠链接，顺序执行）。多路复用是多个http复用一个TCP链接，那么多路复用后，请求和响应不再是按照顺序一一对应。如果一个请求被堵塞，其他请求可以继续。

3、http/2优化了http/1.1，但是也存在一些问题，就像上面说的，没有完美的事情。http/3对2进行了一些优化

• 2在多路复用时是复用一个TCP链接，那么TCP一旦发送丢包，那么就会阻塞所以复用它的http，这就麻烦了，这里也是因为TCP是可靠传输，顺序要一一对应。所以http/3直接将TCP改为UDP，但是UDP是不可靠传输，所以也加入了基于UDP的QUIC协议，来实现类似TCP的了靠传输。
• http/3将TCP三次握手和SSL/TSL三次握手直接合并成了三次握手，意思是将原来的6次合并成了3次，减少了链接次数。

我们可以看到http/3有很多优点，但是目前普及较慢，我也不清楚为什么，有知道的小伙伴可以评论区讨论讨论

四、参考资料

本篇文章的知识是看以下两位大佬讲解的：
1、小林coding
2、 技术蛋老师
没看明白的小伙伴也可以查看以上链接。

为了省时间，图也借用了一下，哈哈。
在此感谢二位为计算机行业做出的贡献！