SSL的那些事_二

SSL的工作原理

 

1.概念：

HTTP：是客户端浏览器或其他程序与Web服务器之间的应用层通信协议 。

HTTPS = HTTP + SSL/TSL： 可以理解为HTTP+SSL/TLS， 即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL，用于安全的 HTTP 数据传输。

SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。

TLS（Transport Layer Security，传输层安全）：其前身是 SSL，它最初的几个版本（SSL 1.0、SSL 2.0、SSL 3.0）由网景公司开发，1999年从 3.1 开始被 IETF 标准化并改名，发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。SSL3.0和TLS1.0由于存在安全漏洞，已经很少被使用到。TLS 1.3 改动会比较大，目前还在草案阶段，目前使用最广泛的是TLS 1.1、TLS 1.2。 

2. 加密算法

对称加密：加密和解密都是使用的同一个密钥，DES、AES-GCM、ChaCha20-Poly1305等

非对称加密：加密使用的密钥和解密使用的密钥是不相同的，分别称为：公钥、私钥，公钥和算法都是公开的，私钥是保密的。非对称加密算法性能较低，但是安全性超强，由于其加密特性，非对称加密算法能加密的数据长度也是有限的。例如：RSA、DSA、ECDSA、 DH、ECDHE 。

哈希算法：将任意长度的信息转换为较短的固定长度的值，通常其长度要比信息小得多，且算法不可逆。例如：MD5、SHA-1、SHA-2、SHA-256 等 

数字签名：签名就是在信息的后面再加上一段内容（信息经过hash后的值），可以证明信息没有被修改过。hash值一般都会加密后（也就是签名）再和信息一起发送，以保证这个hash值不被修改。

3. HTTP vs HTTPS

HTTP Request

HTTPS Request

SSL/TLS协议的基本过程是这样的：

（1） 客户端向服务器端索要并验证公钥。

（2） 双方协商生成"对话密钥"。

（3） 双方采用"对话密钥"进行加密通信。

(1) Client Hello： 客户端向服务器发送加密通信请求，发送内容包括：支持的协议版本，支持的加密方法，压缩方法，请求的域名

(2) Server Hello：确认使用的加密通信协议版本，确认使用的加密方法，服务器证书。证书中包含的具体内容有：证书CA，有效期，公钥，证书持有者，数字签名

(3) ClientResponse：读取证书中的证书所有者、有效期等信息进行校验，查找操作系统中受信任的CA，检查证书CA。找到CA后，拿到公钥。

(4) ServerResponse：发送编码，表示随后的信息都将用双方商定的加密方法和密钥发送。服务器发送握手结束通知，表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值，用来供客户端校验。

(5)/(6): 客户端与服务器进入加密通信，就完全是使用普通的HTTP协议，只不过用"会话密钥"加密内容