HTTPS 工作流程梳理
阿新 • • 發佈:2018-11-29
Https涉及到的主體
- 客戶端。通常是瀏覽器(Chrome、IE、FireFox等),也可以自己編寫的各種語言的客戶端程式。
- 服務端。一般指支援Https的網站,比如github、支付寶。
- CA(Certificate Authorities)機構。Https證書籤發和管理機構,比如Symantec、Comodo、GoDaddy、GlobalSign。
下圖裡我畫出了這幾個角色:
發明Https的動機
- 認證正在訪問的網站。什麼叫認證網站?比如你正在訪問支付寶,怎樣確定你正在訪問的是阿里巴巴提供的支付寶而不是假冒偽劣的釣魚網站呢?
- 保證所傳輸資料的私密性和完整性。眾所周知,Http是明文傳輸的,所以處在同一網路中的其它使用者可以通過網路抓包來竊取和篡改資料包的內容,甚至運營商或者wifi提供者,有可能會篡改http報文,新增廣告等資訊以達到盈利的目的。
Https的工作流程
這一節通過介紹Https協議的工作流程,來說明Https是如何達成自己的兩個目的的。下圖我畫出了Https的工作流程,注意,這只是原理示意圖,並不是詳細的協議解析。
可以看到工作流程,基本分為三個階段:
-
認證伺服器。瀏覽器內建一個受信任的CA機構列表,並儲存了這些CA機構的證書。第一階段伺服器會提供經CA機構認證頒發的伺服器證書,如果認證該伺服器證書的CA機構,存在於瀏覽器的受信任CA機構列表中,並且伺服器證書中的資訊與當前正在訪問的網站(域名等)一致,那麼瀏覽器就認為服務端是可信的,並從伺服器證書中取得伺服器公鑰,用於後續流程。否則,瀏覽器將提示使用者,根據使用者的選擇,決定是否繼續。當然,我們可以管理這個受信任CA機構列表,新增我們想要信任的CA機構,或者移除我們不信任的CA機構。
-
協商會話金鑰。客戶端在認證完伺服器,獲得伺服器的公鑰之後,利用該公鑰與伺服器進行加密通訊,協商出兩個會話金鑰,分別是用於加密客戶端往服務端傳送資料的客戶端會話金鑰,用於加密服務端往客戶端傳送資料的服務端會話金鑰。在已有伺服器公鑰,可以加密通訊的前提下,還要協商兩個對稱金鑰的原因,是因為非對稱加密相對複雜度更高,在資料傳輸過程中,使用對稱加密,可以節省計算資源。另外,會話金鑰是隨機生成,每次協商都會有不一樣的結果,所以安全性也比較高。
-
加密通訊。此時客戶端伺服器雙方都有了本次通訊的會話金鑰,之後傳輸的所有Http資料,都通過會話金鑰加密。這樣網路上的其它使用者,將很難竊取和篡改客戶端和服務端之間傳輸的資料,從而保證了資料的私密性和完整性。
使用Https的流程
如果你是一個伺服器開發者,想使用Https來保護自己的服務和使用者資料安全,你可以按照以下流程來操作。
總結
- 說是討論Https,事實上Https就是Http跑在SSl或者TLS上,所以本文討論的原理和流程其實是SSL和TLS的流程,對於其它使用SSL或者TLS的應用層協議,本文內容一樣有效。
- 本文只討論了客戶端驗證服務端,服務端也可以給客戶端頒發證書並驗證客戶端,做雙向驗證,但應用沒有那麼廣泛,原理類似。
- 由於採用了加密通訊,Https無疑要比Http更耗費伺服器資源,這也是很多公司明明支援Https卻預設提供Http的原因。