Skip to main content

HTTPS 原理和 TLS 握手机制

HTTPS 是在 HTTP 的基础上,提供了对数据加密的支持,保证了数据私密性、完整性,并且可以用来认证客户端和服务器身份。

为什么安全#

在普通 HTTP 协议中,数据是明文传输的,很容易有中间人窃听数据,并对客户端把自己伪装成服务器,对服务器把自己伪装为客户端,进而非法获取通信数据。而在 HTTPS 中,数据是加密传输的,利用了非对称公钥加密机制,既能保证数据不被篡改,又能认证通信双方身份,基本避免了中间人攻击。

TLS 与握手机制#

HTTPS 通信的加密是使用 TLS 协议实现的。在客户端和服务器正常通信之前,会有一个握手过程。这里以浏览器访问 HTTPS 网站、且HTTPS 网站服务器提供单向认证为例来描述一下握手过程。(注意,握手过程根据 Key 交换算法的不同而不同,比如 RSA、Diffie Hellman,这里以 RSA 为例)

  • 首先浏览器发起 clientHello 消息,包含支持的 TLS 版本,加密算法集(Cipher Suite),以及随机数。
  • 服务器发送 1) ServerHello 消息,包含所选择的双方共同支持的 TLS 版本,加密算法集和另一个随机数,2) 然后发送 Certificate 消息,附加服务器的证书。3) 最后发送 ServerHelloDone 消息
  • 浏览器接收消息后验证服务器证书是否为受信任的证书机构(CA)签发的,是否是真实的服务器(认证),之后使用证书附带的公钥生成 premaster secret, 作为ClientKeyExchange 消息体发送给服务器
  • 服务器收到后使用私钥解密 premaster secret
  • 随后浏览器和服务器使用 premaster secret 和之前生成的服务器+浏览器全部随机数生成相同的 master key,用于加密和解密后续所有的通信
  • 浏览器 1) 发送 ChangeCipherSpec 消息 2) 然后发送使用master key 加密的 finished 消息
  • 服务器接收并验证,然后同样给浏览器发送 ChangeCipherSpec 消息和使用 master key 加密的 finished 消息,浏览器接收并验证
  • 握手完成

好了,这个就是 HTTPS 通信原理与 TLS 握手机制,如果觉得视频有帮助请三连并关注,我是峰华,感谢观看!

Last updated on