HTTPS建立连接的过程

一、HTTPS

HTTP是超文本传输协议。HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定义在RFC 6101中，之后IETF对SSL 3.0进行了升级，于是出现了TLS（Transport Layer Security） 1.0，定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议，但是由于SSL出现的时间比较早，并且依旧被现在浏览器所支持，因此SSL依然是HTTPS的代名词，但无论是TLS还是SSL都是上个世纪的事情，SSL最后一个版本是3.0，今后TLS将会继承SSL优良血统继续为我们进行加密服务。目前TLS的版本是1.2，定义在RFC 5246中，暂时还没有被广泛的使用

HTTPS基于HTTP使用 SSL/TLS加密。他们都是基于TCP/IP的

二、HTTPS验证原理

![](https://img2018.cnblogs.com/blog/1226829/201810/1226829-20181008195425015-1141725576.png)

2.1 验证流程

1 客户端发起一个https的请求，把自身支持的一系列Cipher Suite（密钥算法套件，简称Cipher）（自己支持的一套加密算法和哈希算法）发送给服务端

2 服务端，接收到客户端所有的Cipher后与自身支持的对比，从中挑选出一套自己支持的加密算法和哈希算法，如果不支持则连接断开

然后把自己的信息以证书的形式返回给客户端证书内容有：湾站地址、密匙公钥、证书颁发机构、失效日期等

3 客户端收到服务端响应后会做以下几件事

a.验证证书的合法性

验证证书的合法性，证书中包含的网站地址是否与正在访问的地址一致、证书是否过期等

证书验证通过后，在浏览器的地址栏会加上一把小锁(如楼主使用的Chrome浏览器)

b.生成随机密码

如果证书验证通过，或者用户接受了不受信任证书，然后浏览器会生成一串随机数，然后用证书中的公钥加密。

c.HASH握手信息

用最开始约定好的HASH方式，把握手消息取HASH值，然后用随机数加密 “握手消息+握手消息HASH值(签名)” 并一起发送给服务端

在这里之所以要取握手消息的HASH值，主要是把握手消息做一个签名，用于验证握手消息在传输过程中没有被篡改过。

服务端拿到客户端传来的密文，用自己的私钥来解密握手消息取出随机数密码，再用随机数密码解密握手消息与HASH值，并与传过来的HASH值做对比确认是否一致。

然后用随机密码加密一段握手消息(握手消息+握手消息的HASH值 )给客户端

5 客户端用随机数解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密

因为这串密钥只有客户端和服务端知道，所以即使中间请求被拦截也是没法解密数据的，以此保证了通信的安全

非对称加密算法：RSA，DSA/DSS 在客户端与服务端相互验证的过程中用的是对称加密

对称加密算法：AES，RC4，3DES 客户端与服务端相互验证通过后，以随机数作为密钥时，就是对称加密

HASH算法：MD5，SHA1，SHA256 在确认握手消息没有被篡改时