今天我们说https具体工作原理。
HTTPS概念
HTTPS是一种网络协议,传统的HTTP是明文传输,非常 不安全,所以HTTPS是基于HTTP基础上进行加密传输内容。
HTTPS使用加密传输方式
第一种是非对称加密,是前期建立连接时候使用的数据加密方式。这种加密方式必须有公钥key和私密key。
第二种是对称加密,是后期进行数据传输的加密方式 。
非对称加密与对称加密方式对比,需要消耗大量计算机资源。
HTTPS通讯流程
上面是HHTPS加密流程,下面详细讲解:
1.第一步建立TCP连接,使用三次握手。
2.由客户端发起请求。这一步,客户端主要向服务器发送以下信息:
(1)客户端支持SSL/TLS协议版本,如 TLS1.2版本。
(2)客户端产生一个随机数,用于后面生产会话秘钥。
(3)客户端支持的加密算法列表,例如RSA加密算法。
3.服务器收到客户端请求后,向客户端发出响应,有以下内容。
(1)确认SSL/TLS版本,如果浏览器不支持,就关闭加密通道。
(2)服务器产生随机数,用于后面用于生产会话秘钥。
(3)确认密码加密列表
(4) 准备服务器的数字证书
4.客户端回应
客户端收到服务器的回应之后,首先通过浏览器或者操作系统中的 CA 公钥,确认服务器的数字证书的真实性。
如果证书验证没有问题,客户端会从数字数字钟去除服务器的公钥,然后进行加密,向服务器发送以下信息:
(1)一个随机数(pre-master key)。该随机数会被服务器公钥加密。
(2)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(3)客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供服务端校验。
3.客户端回应
客户端收到服务器的回应之后,首先通过浏览器或者操作系统中的 CA 公钥,确认服务器的数字证书的真实性。
如果证书没有问题,客户端会从数字证书中取出服务器的公钥,然后使用它加密报文,向服务器发送如下信息:
(1)一个随机数(pre-master key)。该随机数会被服务器公钥加密。
(2)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(3)客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供服务端校验。
上面第一项的随机数是整个握手阶段的第三个随机数,这样服务器和客户端就同时有三个随机数,接着就用双方协商的加密算法,各自生成本次通信的「会话秘钥」。
4.服务器的最后回应
服务器收到客户端的第三个随机数(pre-master key)之后,通过协商的加密算法,计算出本次通信的「会话秘钥」。然后,向客户端发生最后的信息:
(1)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供客户端校验。
至此,整个SSL/TLS握手阶段结束。接下来根据会话秘钥进行加密通信。
证书验证
这个"证书"不是一个"纸质"的证书,而是一串数据(类似于一个对象,里面有很多属性),是数字证书,包括以下属性:
1.服务器的URL
2.证书的过期时间
3.颁发证书的机构
4.服务器自己的公钥pub
加密的签名(先对证书的所有数据计算一个校验和,然后由证书自己的私钥pri对签名进行加密)
…
客户端拿到证书后,首先会对证书进行校验:
1.得到初始签名:通过由证书提供的公钥对签名进行解密,拿到初始签名,记为sum1
2.计算现在的签名:客服端使用同样的签名算法,基于证书的所有属性,计算签名sum2
3.比较两个签名是否相同,如果相同,说明证书的内容没有被篡改,如果不相同,说明证书的内容被篡改了,此时客户端的浏览器会弹窗报错!!!
为什么说黑客改变不了加密证书内容
1.黑客将证书中服务器的公钥秘钥A改成自己的公钥秘钥B
2.黑客针对证书的各种属性重新计算签名
3.黑客将证书的内容重新加密,但黑客是不知道证书的私钥A的,所以无法进行加密。(此处是关键,黑客并不是"看不到",而是"改不了")
