中秋节学什么，学HTTPS叭

前言

你好，我是小航，一个正在变秃、变强的大三党。本文主要讲解HTTPS
如果您对本文感兴趣，欢迎大家的收藏和关注！最后祝大家中秋节快乐！哈哈哈~

一、HTTPS是什么？

我们经常在网址上看到：

HTTPS (HyperText Transfer Protocol Secure)，译为：超文本传输安全协议

• 常称为 HTTP over TLS、HTTP over SSL、HTTP Secure
• 由网景公司于1994年首次提出
• HTTPS的默认端口号是 443 (HTTP是80)

现在我们启动浏览器并打开F12打开控制台，输入http://www.baidu.com

发现网页自动重定向到了https://www.baidu.com

二、SSL / TLS

再讲HTTPS之前，我们先来聊一聊SSL、TLS

HTTPS 是在 HTTP 的基础上使用 SSL/TLS来 加密报文，对窃听和中间人攻击提供合理的防护

SSL/TLS 也可以用在其他协议上，比如

• FTP → FTPS
• SMTP → SMTPS

---

TLS (Transport Layer Security)，译为：传输层安全性协议

前身是 SSL (Secure Sockets Layer)，译为：安全套接层
历史版本信息

• SSL 1.0：因存在严重的安全漏洞，从未公开过
• SSL 2.0：1995年，已于2011年弃用 (RFC 6176)
• SSL 3.0：1996年，已于2015年弃用 (RFC 7568)
• TLS 1.0：1999年 (RFC 2246)
• TLS 1.1：2006年 (RFC 4346)
• TLS 1.2：2008年 (RFC 5246)
• TLS 1.3：2018年 (RFC 8446)
  小细节：TLS的RFC文档编号都是以46结尾

那么SSL/TLS 工作在哪一层？

---

OpenSSL

OpenSSL 是SSL/TLS协议的开源实现，始于1998年，支持Windows、Mac、Linux等平台

• Linux、Mac 一般自带 OpenSSL
• Windows下载安装OpenSSL：https://slproweb.com/products/Win32OpenSSL.html

常用命令

• 生成私钥：openssl genrsa -out mj.key
• 生成公钥：openssl rsa -in mj.key -pubout -out mj.pem

可以使用 OpenSSL 构建一套属于自己的CA，自己给自己颁发证书，称为“自签名证书”

三、HTTPS的成本

1. 证书的费用
2. 加解密计算
3. 降低了访问速度

有些企业的做法是：包含敏感数据的请求才使用HTTPS，其他保持使用HTTP

• http://www.icbc.com.cn/icbc/ 【静态网页每个人都可以看的，就不需要加密了】
• https://mybank.icbc.com.cn/

四、HTTPS的通信过程

总的可以分为3大阶段
·① TCP的3次握手
·②TLS的连接
·③ HTTP请求和响应

这里我们重点讲述②

TLS1.2 的连接大概有10大步骤:（图中省略了中间产生的一些ACK确认）

为了更清楚的看到每个具体过程，我们打开wireshark，使用捕获过滤器
输入tcp port 443

wireshark过滤器分为两种，显示过滤器和捕获过滤器。显示过滤器指的是针对已经捕获的报文，过滤出符合过滤规则的报文；捕获过滤器指的是提前设置好过滤规则，只捕获符合过滤规则的报文

我这里进入WLAN2（根据个人网卡情况而定）

我们还是以baidu.com为例，浏览器打开并获取真实IP地址：

停止抓包，选择过滤ip地址为：39.156.66.14


接下来，我们分析每一步的过程：
① Client Hello

• TLS的版本号
• 支持的加密组件 (Cipher Suite) 列表
• 加密组件是指所使用的加密算法及密钥长度等
• 一个随机数 (Client Random)

② Server Hello

• TLS的版本号
• 选择的加密组件是从接收到的客户端加密组件列表中挑选出来的
• 一个随机数 (Server Random)

③ Certificate

• 服务器的公钥证书（被CA签名过的）

④ Server Key Exchange

• 用以实现ECDHE算法的其中一个参数 (Server Params)
• ECDHE是一种密钥交换算法
• 为了防止伪造，Server Params 经过了服务器私钥签名

⑤ Server Hello Done

• 告知客户端：协商部分结束

目前为止，客户端和服务器之间通过明文共享了 Client Random、Server Random、Server Params，而且，客户端也已经拿到了服务器的公钥证书，接下来，客户端会验证证书的真实有效性

⑥ Client Key Exchange

• 用以实现ECDHE算法的另一个参数 (Client Params)

目前为止，客户端和服务器都拥有了ECDHE算法需要的2个参数：Server Params、Client Params

客户端、服务器都可以使用ECDHE算法根据Server Params、Client Params计算出一个新的随机密钥串：Pre-master secret，然后结合 Client Random、Server Random、Pre-master secret 生成一个主密钥，最后利用主密钥衍生出其他密钥：客户端发送用的会话密钥、服务器发送用的会话密钥等

⑦ Change Cipher Spec

• 告知服务器：之后的通信会采用计算出来的会话密钥进行加密

⑧ Finished

• 包含连接至今全部报文的整体校验值（摘要），加密之后发送给服务器
• 这次握手协商是否成功，要以服务器是否能够正确解密该报文作为判定标准

⑨ Change Cipher Spec ⑩ Finished

到此为止，客户端服务器都验证加密解密没问题，握手正式结束，后面开始传输加密的HTTP请求和响应