HTTPS 即 HTTP over TLS,是一种在加密信道进行 HTTP 内容传输的协议。
TLS(传输层安全) 的早期版本叫做 SSL(Secure Socket Layer)。TLS/SSL是一种加密通道的规范。SSL 的 1.0, 2.0, 3.0 版本均已经被废弃,出于安全问题考虑广大浏览器也不再对老旧的 SSL 版本进行支持了,因此这里我们就统一使用 TLS 名称了。
特性:
- 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
- 鉴别:可选的客户端认证,和强制的服务器端认证。
- 完整性:传送的消息包括消息完整性检查(使用MAC)。
TLS 的基本过程:
- 客户端发送一个
ClientHello消息到服务器端,消息中同时包含了它的 Transport Layer Security (TLS) 版本,可用的加密算法和压缩算法。 - 服务器端向客户端返回一个
ServerHello消息,消息中包含了服务器端的 TLS 版本,服务器所选择的加密和压缩算法,以及数字证书认证机构(Certificate Authority,缩写 CA)签发的服务器公开证书,证书中包含了公钥。客户端会使用这个公钥加密接下来的握手过程,直到协商生成一个新的对称密钥。
- 客户端根据自己的信任 CA 列表,验证服务器端的证书是否可信。
- 服务器端使用自己的私钥解密上面提到的随机数,然后使用这串随机数生成自己的对称主密钥
- 客户端发送一个
Finished消息给服务器端,使用对称密钥加密这次通讯的一个散列值 - 服务器端生成自己的 hash 值,然后解密客户端发送来的信息,检查这两个值是否对应。如果对应,就向客户端发送一个
Finished消息,也使用协商好的对称密钥加密 - 从现在开始,接下来整个 TLS 会话都使用对称秘钥进行加密,传输应用层(HTTP)内容
TLS 的完整过程需要三个算法(协议)
密钥交互算法,对称加密算法,和消息认证算法