前提
在講述這兩個(gè)握手時(shí)候���,有一些東西需要提前說(shuō)明���。
HTTP與TCP/IP區(qū)別���?
TPC/IP協(xié)議是傳輸層協(xié)議,主要解決數(shù)據(jù)如何在網(wǎng)絡(luò)中傳輸�����,而HTTP是應(yīng)用層協(xié)議�����,主要解決如何包裝數(shù)據(jù)��。WEB使用HTTP協(xié)議作應(yīng)用層協(xié)議�,以封裝HTTP 文本信息��,然后使用TCP/IP做傳輸層協(xié)議將它發(fā)到網(wǎng)絡(luò)上�。
下面的圖表試圖顯示不同的TCP/IP和其他的協(xié)議在最初OSI(Open System Interconnect)模型中的位置:
PS:表格來(lái)自網(wǎng)上資料
CA證書(shū)是什么?
CA(Certificate Authority)是負(fù)責(zé)管理和簽發(fā)證書(shū)的第三方權(quán)威機(jī)構(gòu)��,是所有行業(yè)和公眾都信任的��、認(rèn)可的���。
CA證書(shū)��,就是CA頒發(fā)的證書(shū)���,可用于驗(yàn)證網(wǎng)站是否可信(針對(duì)HTTPS)��、驗(yàn)證某文件是否可信(是否被篡改)等�����,也可以用一個(gè)證書(shū)來(lái)證明另一個(gè)證書(shū)是真實(shí)可信���,最頂級(jí)的證書(shū)稱為根證書(shū)。除了根證書(shū)(自己證明自己是可靠)��,其它證書(shū)都要依靠上一級(jí)的證書(shū)�,來(lái)證明自己。
HTTP三次握手
HTTP(HyperText Transfer Protocol)超文本傳輸協(xié)議是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議���。由于信息是明文傳輸���,所以被認(rèn)為是不安全的。而關(guān)于HTTP的三次握手��,其實(shí)就是使用三次TCP握手確認(rèn)建立一個(gè)HTTP連接��。
如下圖所示,SYN(synchronous)是TCP/IP建立連接時(shí)使用的握手信號(hào)�����、Sequence number(序列號(hào))����、Acknowledge number(確認(rèn)號(hào)碼),三個(gè)箭頭指向就代表三次握手��,完成三次握手����,客戶端與服務(wù)器開(kāi)始傳送數(shù)據(jù)�����。
PS:圖片來(lái)自網(wǎng)上資料
第一次握手:客戶端發(fā)送syn包(syn=j)到服務(wù)器���,并進(jìn)入SYN_SEND狀態(tài)���,等待服務(wù)器確認(rèn);
第二次握手:服務(wù)器收到syn包�,必須確認(rèn)客戶的SYN(ack=j+1)���,同時(shí)自己也發(fā)送一個(gè)SYN包(syn=k),即SYN+ACK包����,此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務(wù)器的SYN+ACK包����,向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1),此包發(fā)送完畢�����,客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)����,完成三次握手。
HTTPS握手過(guò)程
HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議�����,SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份���,并為瀏覽器和服務(wù)器之間的通信加密���。具體是如何進(jìn)行加密����,解密��,驗(yàn)證的��,且看下圖���,下面的稱為一次握手����。
PS:圖片以下描述摘自:http://zhuqil.cnblogs.com
1. 客戶端發(fā)起HTTPS請(qǐng)求
2. 服務(wù)端的配置
采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書(shū)��,可以是自己制作或者CA證書(shū)���。區(qū)別就是自己頒發(fā)的證書(shū)需要客戶端驗(yàn)證通過(guò),才可以繼續(xù)訪問(wèn)���,而使用CA證書(shū)則不會(huì)彈出提示頁(yè)面���。這套證書(shū)其實(shí)就是一對(duì)公鑰和私鑰�。公鑰給別人加密使用�,私鑰給自己解密使用。
3. 傳送證書(shū)
這個(gè)證書(shū)其實(shí)就是公鑰�����,只是包含了很多信息��,如證書(shū)的頒發(fā)機(jī)構(gòu)�,過(guò)期時(shí)間等。
4. 客戶端解析證書(shū)
這部分工作是有客戶端的TLS來(lái)完成的����,首先會(huì)驗(yàn)證公鑰是否有效,比如頒發(fā)機(jī)構(gòu)�,過(guò)期時(shí)間等,如果發(fā)現(xiàn)異常�����,則會(huì)彈出一個(gè)警告框���,提示證書(shū)存在問(wèn)題�。如果證書(shū)沒(méi)有問(wèn)題,那么就生成一個(gè)隨即值�����,然后用證書(shū)對(duì)該隨機(jī)值進(jìn)行加密�。
5. 傳送加密信息
這部分傳送的是用證書(shū)加密后的隨機(jī)值,目的就是讓服務(wù)端得到這個(gè)隨機(jī)值��,以后客戶端和服務(wù)端的通信就可以通過(guò)這個(gè)隨機(jī)值來(lái)進(jìn)行加密解密了���。
6. 服務(wù)段解密信息
服務(wù)端用私鑰解密后��,得到了客戶端傳過(guò)來(lái)的隨機(jī)值(私鑰)���,然后把內(nèi)容通過(guò)該值進(jìn)行對(duì)稱加密。所謂對(duì)稱加密就是���,將信息和私鑰通過(guò)某種算法混合在一起�,這樣除非知道私鑰���,不然無(wú)法獲取內(nèi)容���,而正好客戶端和服務(wù)端都知道這個(gè)私鑰,所以只要加密算法夠彪悍���,私鑰夠復(fù)雜����,數(shù)據(jù)就夠安全���。
7. 傳輸加密后的信息
這部分信息是服務(wù)段用私鑰加密后的信息�����,可以在客戶端被還原��。
8. 客戶端解密信息
客戶端用之前生成的私鑰解密服務(wù)段傳過(guò)來(lái)的信息����,于是獲取了解密后的內(nèi)容�。
PS: 整個(gè)握手過(guò)程第三方即使監(jiān)聽(tīng)到了數(shù)據(jù),也束手無(wú)策�����。
總結(jié)
為什么HTTPS是安全的���?
在HTTPS握手的第四步中�����,如果站點(diǎn)的證書(shū)是不受信任的����,會(huì)顯示出現(xiàn)下面確認(rèn)界面,確認(rèn)了網(wǎng)站的真實(shí)性����。另外第六和八步,使用客戶端私鑰加密解密���,保證了數(shù)據(jù)傳輸?shù)陌踩?/p>
HTTPS和HTTP的區(qū)別
1. https協(xié)議需要到ca申請(qǐng)證書(shū)或自制證書(shū)����。
2. http的信息是明文傳輸����,https則是具有安全性的ssl加密。
3. http是直接與TCP進(jìn)行數(shù)據(jù)傳輸���,而https是經(jīng)過(guò)一層SSL(OSI表示層)����,用的端口也不一樣���,前者是80(需要國(guó)內(nèi)備案)���,后者是443。
4. http的連接很簡(jiǎn)單�,是無(wú)狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸�、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全��。
注意https加密是在傳輸層
https報(bào)文在被包裝成tcp報(bào)文的時(shí)候完成加密的過(guò)程�����,無(wú)論是https的header域也好���,body域也罷都是會(huì)被加密的����。
當(dāng)使用tcpdump或者wireshark之類的tcp層工具抓包��,獲取是加密的內(nèi)容,而如果用應(yīng)用層抓包�,使用Charels(Mac)、Fildder(Windows)抓包工具��,那當(dāng)然看到是明文的���。
PS:HTTPS本身就是為了網(wǎng)絡(luò)的傳輸安全�����。
例子����,使用wireshark抓包:
http�,可以看到抓到是明文的:
https,可以看到抓到是密文的:
附錄
HTTPS一般使用的加密與HASH算法如下:
非對(duì)稱加密算法:RSA���,DSA/DSS
對(duì)稱加密算法:AES�,RC4��,3DES
HASH算法:MD5����,SHA1�����,SHA256
