HTTPS 简单来说就是 HTTP 的安全通信方式,即 HTTP + SSL/TSL 协议。
主机信任
单向认证
HTTPS 中客户端通过证书来校验服务器,只有校验通过客户端和服务器才能建立通信。
首先我们需要从CA (Certificate Authority) 申请自己的证书(带私钥),然后将证书保存在服务器。客户端的系统中已经内置所有带公钥的 CA 证书。(下文的证书皆指 CA 证书,自建证书需要自己将带公钥的证书导入到客户端,其他和 CA 证书一样)
OS X 系统上的 CA 证书
在建立通信的时候服务器会把证书发送给客户端,客户端会校验服务器发送过来的证书的合法性。包括:
- 证书是否在有效期内
- 发行证书的机构是否可靠
- 本地证书的公钥能否解开服务器证书的数字签名
- 服务器证书上的域名和服务器的实际域名是否匹配
如果校验通过,则客户端信任该服务器并继续之后的通信流程。
双向认证
HTTPS 单向认证只需要客户端对服务器进行认证,而双向认证则是服务器也需要对客户端进行认证。
双向认证时客户端会存放另一个证书(带私钥),在客户端验证服务器之后,客户端会将自己的证书发送给服务器,让服务器对其身份进行校验。
SSL协议握手过程
SSL 协议分为两层,SSL记录协议和 SSL 握手协议。
SSL 记录协议在可靠传输协议之上,随数据进行封装,压缩等。
SSL 握手协议在客户端和服务器通信之前,对双方身份进行认证,协商加密算法,交换加密密钥等。主要步骤如下:
- 客户端向服务器发起请求,传送 SSL 协议版本号,支持的加密算法,随机数 (random1) 等信息
- 服务器向客户端传送选中的加密算法,随机数 (random2) 以及证书
- 客户端验证证书的合法性,验证通过之后取出证书中的公钥
- 客户端产生一个新的随机数(random3),并用步骤3拿到的公钥对 random3 进行加密生成预主密钥,然后发送给服务器
- 服务器用私钥解密预主密钥得到 random3 ,现在服务器和客户端同时拥有了三个随机数(random1,random2,random3)
- 客户端和服务器根据三个随机数并用同一套算法生成对称密钥,用于之后通信的加解密
- 客户端和服务器相互确认握手结束,进行数据传输
双向认证的握手过程基本和上面一样,只是在步骤4之前,客户端会先将自己的证书发送给服务器进行校验。
完整的双向认证的认证的过程如下图所示:
总结
以上就是本人对 HTTPS 原理理解的总结,如果有不妥或者不明白的地方欢迎大家留言。
以前总是在网上看被人写的文章,每每读到写的好的文章时都觉得很赏心悦目,条理清晰,通俗易懂,通过这些文章自己也是受益良多。见贤思齐焉,因此我也打算以文章的形式记录下自己学过的东西。一来可以更好的巩固和梳理知识,且方便以后回顾复习。二来可以提升自己的写作和表达能力。
