第十九天:HTTPS
HTTPS(HyperText Transfer Protocol Secure),译为:超文本传输安全协议
常称为HTTP over TLS、HTTP over SSL、HTTP Secure
由网景公司于1994年首次提出
HTTPS与HTTP的区别
HTTPS默认端口是443
SSL/TLS
HTTPS是在HTTP的基础上使用SSL/TLS来加密报文,对窃听和中间人攻击提供合理的防护
TLS (Transport Layer Security),译为:传输层安全性协议
前身是SSL (Secure Sockets Layer),译为:安全套接层
版本信息
SSL 1.0:因存在严重的安全漏洞,从未公开过
SSL 2.0: 1995年,已于2011年弃用(RFC 6176)
SSL 3.0: 1996年,已于2015年弃用(RFC 7568)
TLS 1.0: 1999年(RFC 2246)
TLS 1.1: 2006年(RFC 4346)
TLS 1.2: 2008年(RFC 5246)
**TLS 1.3:**2018年(RFC 8446)
SSL/TLS工作在应用层层
OpenSSL
OpenSSL是SSL/TLS协议的开源实现,始于1998年,支持Windows、Mac、Linux等平台
Linux、Mac一般自带OpenSSL
Windows下载安装OpenSSL: https://slproweb.com/products/Win32tpenSSL.html
常用命令
- 生成私钥: openssl genrsa -out mj.key
- 生成公钥: openssl rsa -in mj.key -pubout -out mj.pem
HTTPS的成本
- 证书的费用
- 加解密计算
- 降低了访问速度
- 有些企业的做法是:包含敏感数据的请求才使用HTTPS,其他保持使用HTTP
HTTPS的通信过程
总的可以分为3大阶段
- TCP的3次握手
- TLS的连接
- HTTP请求和响应
其他的和HTTP是一样的 只有第二步有区别
重点我们来看看第二步的连接
TLS 1.2的连接
大概有10步,图中省略了中间产生的一些ACK确认
通过抓包工具可以看到整个数据包
-
第一步:client hello
TLS的版本号
支持的加密组件(Cipher Suite)列表
加密组件是指所使用的加密算法及密钥长度等
一个随机数(Client Random)
通过抓包看看它的东西
-
第二步:server hello
Server Hello
TLS的版本号
选择的加密组件,是从接收到的客户端加密组件列表中挑选出来的
一个随机数(Server Random)
-
Certificate
服务器的公钥证书(被CA签名过的)
-
Server Key Exchange,用以实现ECDHE算法的其中一个参数(Server Params)
ECDHE是一种密钥交换算法
为了防止伪造,Server Params经过了服务器私钥签名
-
Server Hello Done
-
告知客户端:协商部分结束
目前为止,客户端和服务器之间通过明文共享了Client Random、Server Random、Server Params,而且,客户端也已经拿到了服务器的公钥证书,接下来,客户端会验证证书的真实有效性
-
-
Client Key Exchange
用以实现ECDHE算法的另一个参数(Client Params)目前为止,客户端和服务器都拥有了ECDHE算法需要的2个参数: Server Params、Client Params
客户端、服务器都可以使用ECDHE算法
根据Server Params、 Client Params计算出一个新的随机密钥串:Pre-master secret然后结合Client Random、Server Random、 Pre-master secret生成一个主密钥
最后利用主密钥衍生出其他密钥:客户端发送用的会话密钥、服务器发送用的会话密钥等
-
Change Cipher Spec
告知服务器:之后的通信会采用计算出来的会话密钥进行加密
-
Finished
包含连接至今全部报文的整体校验值(摘要),加密之后发送给服务器这次握手协商是否成功,要以服务器是否能够正确解密该报文作为判定标准
-
Change Cipher Spec
-
Finished
到此为止,客户端服务器都验证加密解密没问题,握手正式结束后面开始传输加密的HTTP请求和响应
当整个过程结束了,就会开始请求响应了
在这个过程就会用刚刚出现的会话密钥(通过刚刚产生的随机数生成的)加密解密
三个随机数
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
