个人笔记纪录, 待完善
1. HTTP 和 HTTPS
首先注意的是, 无论是HTTP和HTTPS都是基于TCP/IP协议, 他们工作在应用层, 都是需要先进行TCP的三次握手进行链接;
1. HTTP:
- 超文本传输协议, 是一种通讯协议;
- 默认使用80端口;
- 是属于
应用层的面相对象协议; - 明文传输数据(自身不提供加密);
- 构建在
TCP/IP协议之上, 是TCP/IP协议的一个子集; - 常见方式有
GET, POST, HEAD, PUT, DELETE, OPTIONS;
特点:
- 无链接, 有建立链接和释放链接的过程;
- 无状态; 如果没有
session或者cookie即使是多次请求服务端也没法确认客户端的身份;
2. HTTPS
简单理解为安全的HTTP; HTTPS = HTTP + TSL(SSL);
- 默认使用443端口;
- 通过
SSL加密不再采用明文传输; - 免费证书很少, 一般需要到 CA 申请收费证书;
-TSL为SSL升级版; - 至此
HTTPS的站点如果仍然使用HTTP方式访问会进行重定向; 例如访问HTTP://www.baidu.com会重定向到HTTPS://www.baidu.com;
HTTPS的优缺点:
可以认证客户端和服务器, 确保数据正确的发送;
数据经过加密, 确保数据在传输过程的安全, 不被窃取, 修改等;
比较耗时, 证书收费, 并非绝对安全,掌握 CA证书机构的算法后仍然可以进行攻击;
3. SSL/TLS:
-
SSL:Secure Socket Layer, 安全套结层; -
SSL/TLS也可以用在其他协议上例如FTP->FTPS SMTP->SMTPS; -
SSL/TLS工作在应用层和传输层之间, 为什么不能在传输层进行此操作, 因为传输层要保证数据的完整性等, 在传输层进行此操作比较耗时,不能保证数据段及时性和完整性;
SSL/TLS 工作在应用层和传输层之间
4 OpenSSL:
OpenSSL是SSL/TLS协议的开源实现, 始于1998年, 支持与 Windows Mac Linux 等系统;
Linue 和 Mac 一般自带OpenSSL,可以通过OpenSSL构建属于自己的一套 CA, 自己给自己办法证书, 这种也成为自签名证书;
常用命令
- 生成私钥:
openssl genrsa -out xx.key - 生产公钥:
openssl rsa -in xx.key -pubout -out xx.pem
2. HTTPS的链接过程
HTTPS的链接过程分为三个过程;
- 1.TCP的三次握手;
- TLS的链接;
- HTTP的请求和相应;
HTTPS链接过程 (1).png
TLS的链接过程
TLS链接过程.png
TLS的链接过程大致分为10个步骤, 省略去中间的ACK部分;
1. Client Hello:
- TLS的版本号;
- 支持的加密组件列表(Cipher Suit)列表;(加密组件是指所使用的加密算法以及秘钥长度等)
- 一个随机数(Client Random);
2. Server Hello:
- TLS的版本号;
- 选择的加密组件(从接收到的客户端的加密组件列表中选择出来的);
- 一个随机数(Server Random);
3. Certificate :
- 服务器的公钥证书(被CA签名过的);
4. Server Key Exchange:
- 用以实现ECDHE算法的其中一个参数(Server Params);
ECDHE是一种秘钥交换算法;
为了防止伪造, Server Params经过了服务器的私钥签名;
5. Server Hello Done:
- 告知服务端:协商部分结束, 截止到目前服务器和客户端一共通过明文交换了Client Random, Server Random, Server Params;
- 而且客户端已经拿到了服务器的公钥证书, 接下来客户端会验证证书的有效性;
6. Client Key Exchange:
- 用以实现ECDHE算法的另一个参数;
- 截止到现在Server和Client端都已经持有了ECDHE算法所需要的的两个参数, Server Params和ClientParams;
- 客户端/服务器都可以使用Client Params和Server Params计算出新的随机秘钥串:Pre-Master Secret; 然后结合Client Random和Server Random, Pre-Master Secret生成一个主密钥, 主密钥再衍生出其他秘钥, 客户端/服务器发送用的回话秘钥等;
7. Change Cipher Spec:
- 告知服务器之后会使用计算出来的回话秘钥进行加密;
8. Finished:
- 包含连接至今全部报文的整体校验值(摘要), 加密之后发送给服务器;
- 这次握手的是否成功, 要以服务器是否能正确的解密此报文为判定标准;
9. Change Cipher Spec:
10. Finished:
- 截止到现在服务器和客户端都已验证加密解密没问题, 握手正式结束; 下面开始传输加密的HTTP请求和相应;
