一、 简介
- SSL(Secure Socket Layer 安全套接层),由网景在20世纪90年代开发的安全协议;
- 1995年Netscape发布SSL v2.0
- 1996年Netscape发布SSL v3.0
- 1999年 IETF(Internet工程任务组)发布TLS v1.0,用于替代SSL v3.0
- 2006年 发布TLS v1.1
- 2008年 发布TLS v1.2
- 2018年 发布TLS v1.3
至2020年3月,微软、苹果、谷歌等多家企业已弃用TLS v1.0 和 TLS v1.1 。
二 、通信模式演化
- 正常通讯,无加密通信过程很不安全,黑客可以监听双方的通信、拦截通信、伪造数据进行攻击 。
- 使用密钥加密为了应对攻击,对通信数据使用对称加密算法进行加密 。通信双方需要共享密钥 。1981年,出现对称加密算法DES 。DES使用56bit的密钥 。但由于双方需要共享密钥,这个密钥在传输过程中有可能被拦截 。
- 更高强度的密钥DES可能被暴力破解 。为了更高的安全性,出现了triple-DES(最长168bit密钥)、AES (最高 256bit密钥 ) 。这仍没解决双方传递共享密钥的问题 。
- 非对称加密最著名的非对称加密算法RSA算法,其加密与解密使用不同密钥,加密的密钥可以公开 。这样可以有效解决双方共享密钥的问题 。在使用中,通讯双方都有一个公钥和私钥 。
- A使用私钥加密数据的hash值
- A再用B的公钥加密数据 。
- A将加密的hash值和加密的数据加上一些其它信息(如时间戳)发给B
- B 先用私钥解密数据
- B本地运行一个hash值
- B用A的公钥解密hash值,与自己运行的比较,检验数据完整性 。但最初通讯交换公钥的过程,仍存在被中间人攻击的可能 。
- 使用可信任机构颁布数字证书
四、SSL/TLS 基本运行过程1. 整体通讯流程
- 客户端向服务器端索要并验证公钥
- 双方协商生成“对话密钥”
- 双方采用“对话密钥”进行加密通信 。
- 保证公钥不被篡改:将公钥放在数字证书中,只要证书是可信的,公钥就是可信的 。
- 每一次对话,双方生成一个对称密钥,用来加密信息,采用对称加密 。非对称加密只用来加密对称加密的密钥 。
文章插图
通讯抓包示意图:
文章插图
2. 握手阶段详细过程
文章插图
握手阶段涉及4次通信 。
4.1 客户端发出请求(Client Hello)客户端数据主要包含:
- 支持的协议版本,如TLS 1.2版
- 一个客户端生成的随机数,稍后用于生成公钥
- 支持的加密方法,如RSA
- 支持的压缩方法 。
文章插图
支持的加密算法示例:
文章插图
4.2 服务器回应(Server Hello)服务器收到客户端请求后,向客户端发出回应,包含:
- 确认使用的加密通信协议版本,比如TLS 1.2版本 。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信 。
- 一个服务器生成的随机数,稍后用于生成"对话密钥" 。
- 确认使用的加密方法,比如RSA公钥加密 。
- 服务器证书 。
文章插图
【彻底搞清HTTPS安全通讯之SSL/TLS加密协议】
推荐阅读
- Fiddler 抓取 https 请求大全
- 比亚迪|彻底停止燃油车 比亚迪Q1利润涨幅可达300%:新能源创新高
- 利用BurpSuite观察百度首页HTTPS的数据包信息
- 苹果|曝iPhone 14升级闪电接口速率:苹果下一步转全无线 彻底无缘USB-C
- 电脑哪个清理垃圾软件清理彻底?专业清理电脑垃圾?
- 对称还是非对称——https中到底使用了啥?
- Nginx泛域名http默认跳转https
- 这一次,彻底解决Java的值传递和引用传递
- 删除掉的淘宝订单怎么找回 淘宝订单如何彻底删除找不回来
- 彻底禁止Windows 10更新,你的电脑你做主