互联网的通讯安全,创建在SSL/TLS协议之上。git
本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节。若是想了解这方面的内容,请参阅RFC文档。github
1、做用web
不使用SSL/TLS的HTTP通讯,就是不加密的通讯。全部信息明文传播,带来了三大风险。算法
(1) 窃听风险(eavesdropping):第三方能够获知通讯内容。编程
(2) 篡改风险(tampering):第三方能够修改通讯内容。浏览器
(3) 冒充风险(pretending):第三方能够冒充他人身份参与通讯。安全
SSL/TLS协议是为了解决这三大风险而设计的,但愿达到:服务器
(1) 全部信息都是加密传播,第三方没法窃听。
(2) 具备校验机制,一旦被篡改,通讯双方会马上发现。
(3) 配备身份证书,防止身份被冒充。
互联网是开放环境,通讯双方都是未知身份,这为协议的设计带来了很大的难度。并且,协议还必须可以经受全部匪夷所思的攻击,这使得SSL/TLS协议变得异常复杂。
2、历史
互联网加密通讯协议的历史,几乎与互联网同样长。
1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,可是未发布。
1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。
1996年,SSL 3.0版问世,获得大规模应用。
1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。
2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变更是2011年TLS 1.2的修订版。
目前,应用最普遍的是TLS 1.0,接下来是SSL 3.0。可是,主流浏览器都已经实现了TLS 1.2的支持。
TLS 1.0一般被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。
3、基本的运行过程
SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,而后用公钥加密信息,服务器收到密文后,用本身的私钥解密。
可是,这里有两个问题。
(1)如何保证公钥不被篡改?
解决方法:将公钥放在数字证书中。只要证书是可信的,公钥就是可信的。
(2)公钥加密计算量太大,如何减小耗用的时间?
解决方法:每一次对话(session),客户端和服务器端都生成一个"对话密钥"(session key),用它来加密信息。因为"对话密钥"是对称加密,因此运算速度很是快,而服务器公钥只用于加密"对话密钥"自己,这样就减小了加密运算的消耗时间。
所以,SSL/TLS协议的基本过程是这样的:
(1) 客户端向服务器端索要并验证公钥。
(2) 双方协商生成"对话密钥"。
(3) 双方采用"对话密钥"进行加密通讯。
上面过程的前两步,又称为"握手阶段"(handshake)。
4、握手阶段的详细过程
"握手阶段"涉及四次通讯,咱们一个个来看。须要注意的是,"握手阶段"的全部通讯都是明文的。
4.1 客户端发出请求(ClientHello)
首先,客户端(一般是浏览器)先向服务器发出加密通讯的请求,这被叫作ClientHello请求。
在这一步,客户端主要向服务器提供如下信息。
(1) 支持的协议版本,好比TLS 1.0版。
(2) 一个客户端生成的随机数,稍后用于生成"对话密钥"。
(3) 支持的加密方法,好比RSA公钥加密。
(4) 支持的压缩方法。
这里须要注意的是,客户端发送的信息之中不包括服务器的域名。也就是说,理论上服务器只能包含一个网站,不然会分不清应该向客户端提供哪个网站的数字证书。这就是为何一般一台服务器只能有一张数字证书的缘由。
对于虚拟主机的用户来讲,这固然很不方便。2006年,TLS协议加入了一个Server Name Indication扩展,容许客户端向服务器提供它所请求的域名。
4.2 服务器回应(SeverHello)
服务器收到客户端请求后,向客户端发出回应,这叫作SeverHello。服务器的回应包含如下内容。
(1) 确认使用的加密通讯协议版本,好比TLS 1.0版本。若是浏览器与服务器支持的版本不一致,服务器关闭加密通讯。
(2) 一个服务器生成的随机数,稍后用于生成"对话密钥"。
(3) 确认使用的加密方法,好比RSA公钥加密。
(4) 服务器证书。
除了上面这些信息,若是服务器须要确认客户端的身份,就会再包含一项请求,要求客户端提供"客户端证书"。好比,金融机构每每只容许认证客户连入本身的网络,就会向正式客户提供USB密钥,里面就包含了一张客户端证书。
4.3 客户端回应
客户端收到服务器回应之后,首先验证服务器证书。若是证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已通过期,就会向访问者显示一个警告,由其选择是否还要继续通讯。
若是证书没有问题,客户端就会从证书中取出服务器的公钥。而后,向服务器发送下面三项信息。
(1) 一个随机数。该随机数用服务器公钥加密,防止被窃听。
(2) 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
(3) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的全部内容的hash值,用来供服务器校验。
上面第一项的随机数,是整个握手阶段出现的第三个随机数,又称"pre-master key"。有了它之后,客户端和服务器就同时有了三个随机数,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把"会话密钥"。
至于为何必定要用三个随机数,来生成"会话密钥",dog250解释得很好:
"无论是客户端仍是服务器,都须要随机数,这样生成的密钥才不会每次都同样。因为SSL协议中证书是静态的,所以十分有必要引入一种随机因素来保证协商出来的密钥的随机性。
对于RSA密钥交换算法来讲,pre-master-key自己就是一个随机数,再加上hello消息中的随机,三个随机数经过一个密钥导出器最终导出一个对称密钥。
pre master的存在在于SSL协议不信任每一个主机都能产生彻底随机的随机数,若是随机数不随机,那么pre master secret就有可能被猜出来,那么仅适用pre master secret做为密钥就不合适了,所以必须引入新的随机因素,那么客户端和服务器加上pre master secret三个随机数一同生成的密钥就不容易被猜出了,一个伪随机可能彻底不随机,但是是三个伪随机就十分接近随机了,每增长一个自由度,随机性增长的可不是一。"
此外,若是前一步,服务器要求客户端证书,客户端会在这一步发送证书及相关信息。
4.4 服务器的最后回应
服务器收到客户端的第三个随机数pre-master key以后,计算生成本次会话所用的"会话密钥"。而后,向客户端最后发送下面信息。
(1)编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的全部内容的hash值,用来供客户端校验。
至此,整个握手阶段所有结束。接下来,客户端与服务器进入加密通讯,就彻底是使用普通的HTTP协议,只不过用"会话密钥"加密内容。
5、参考连接
- MicroSoft TechNet, SSL/TLS in Detail
- Jeff Moser, The First Few Milliseconds of an HTTPS Connection
- Wikipedia, Transport Layer Security
- StackExchange, How does SSL work?
(完)
west 说:
好文。全面而易懂
2014年2月 5日 20:09 | # | 引用
李狗蛋 说:
坏蛋总不放过任何一丝作恶的机会,太多不要脸的运营商在链路劫持强插广告,直接修改用户的HTTP数据包,再就是NSA之流肆无忌惮的窃听
发现一个HTTPS有意思的地方,只要53端口数据被转发,无论域名对应的DNS解析IP是否是域名真实IP,只要最后都是53端口转发到真实IP之上,就不会弹HTTPS证书错误
好比 https://a.com 对应 ipa 不通
那么劫持DNS解析 https://a.com 到 ipb上 (ipb是通的)
只要在ipb上设置 ipb:53转发到 ipa:53
这样访问 https://a.com 就通了,并且没证书错误
2014年2月 5日 20:10 | # | 引用
Niclau 说:
启用Server Name Indication扩展后,第一步客户端发送请求,同时明文发送域名到server?
2014年2月 6日 11:32 | # | 引用
古明地恋 说:
您好,我有一个疑问。
第一步是用服务器公钥加密的。而服务器公钥包含在证书中。可是若是入侵者获取到服务器证书,并用于解密以后的key,再用key来解密通讯内容,这样怎么防范?
2014年2月 6日 15:57 | # | 引用
Barret Lee 说:
阮老师写的文章都是鞭辟入里啊,通常是站在那些角度去阐述一个观点或者描述一个事物呢?
2014年2月 6日 23:38 | # | 引用
harchiko 说:
Smart !智慧的发明!!
2014年2月 7日 22:21 | # | 引用
魂魄妖梦 说:
服务器证书只包含公钥,没法解密key。解密须要用私钥。
私钥通常放在server端。
若是能拿到私钥,基本上能够确定被入侵了。
这时候获取私钥都不算个事了你说是不。
2014年2月 8日 00:10 | # | 引用
lucas 说:
阮兄的文章很是值得一读,简洁又能把事情的前因后果讲的清清楚楚的,不简单。
2014年2月 8日 09:47 | # | 引用
CJey 说:
对的, 确实是明文, 不然服务端没法肯定向客户端推送哪张证书
并且, 也无法使用密文, 由于密钥还没有协商好
再者, 使用密文也没有意义, 篡改域名只能影响服务端返回的证书, 而全部的证书原本就都是公开的
2014年2月 9日 11:41 | # | 引用
CJey 说:
@李狗蛋:
不太能理解你想表达的意思
不过, SSL/TLS协议并不关心双方的IP, DNS劫持是没法攻击SSL/TLS的
因此, 我以为你的这个测试结果另有缘由
2014年2月 9日 11:53 | # | 引用
onion 说:
其实,看阮兄的博客主要目的就是学习阮兄的总结与再表达能力,对于这篇来讲,真的不懂,可是感受看得很舒服,层次清晰,用语准确,赞!
2014年2月10日 11:43 | # | 引用
masstensor 说:
文章写的浅显易懂,看了颇有收获。不过,须要说明的是,使用PKI机制进行密钥交换只是TLS规范的一种实现形式,还有其余的形式能够用于密钥交换,好比SRP和PSK协议。
2014年2月11日 10:19 | # | 引用
twd2 说:
若是有中间人经过判断域名,来决定是否阻断链接怎么办呢
2014年2月13日 00:30 | # | 引用
nuooo 说:
请考虑介绍下经常使用于SPDY的HTTPS falst start握手,它比标准的握手少一个“server finished"的步骤
2014年2月16日 03:13 | # | 引用
sunny 说:
好文章。
2014年2月23日 11:35 | # | 引用
点虎 说:
感谢!
没有微信公众号?
2014年2月24日 10:35 | # | 引用
hyh 说:
文中的 SeverHello 是否是应该是 ServerHello?
2014年2月27日 20:54 | # | 引用
GlacJAY 说:
只有第一次的握手过程是明文的,以后的自动重协商通讯是用上一次的密钥来加密的。
2014年3月 1日 13:19 | # | 引用
yd 说:
您好,我有一个疑问。
第一步,服务器端的响应内容包含证实服务器自身的证书,客户端获得证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?
2014年3月11日 15:43 | # | 引用
dcb110 说:
查了好多文章,终于在这里把整个握手流程以及中间一些疑问搞清楚了,如今再去看那些代码,清楚了不少,感谢博主。
2014年3月13日 13:45 | # | 引用
Bravluna 说:
证书里是服务器的公钥和身份信息,这些是通过证书颁发机构即CA公证过的,客户端拿到后去CA验证,看这个公钥是否是服务器的,若不是说明证书是伪造的,固然若是证书通过数字签名证书就不可能被伪造了
2014年4月30日 23:29 | # | 引用
ZeroLing 说:
来支持一下阮老师写的东西
2014年5月24日 16:47 | # | 引用
Charles 说:
看来讲清楚这个东西,仍是太过难了一点,这个文章也太过概述了,感受不少关键点没有说清楚啊,看得我好累。不过仍是感谢阮老师,已经让我省了很多时间了。
2014年5月29日 23:12 | # | 引用
heliar 说:
这里还有一个信任链的问题,通常都是有一家第三方的根证书签名机构办法证书,咱们相信这个第三方机构,从而相信它颁发的证书,固然也有根证书受权下一层的证书颁发机构,而后由这个机构给网站服务器作验证的状况
2014年7月19日 02:29 | # | 引用
Pingia 说:
我感受4。3部分 的(1)步和(2)(3)两步中间还有些步骤能够注明清楚点。
事实上服务端和客户端在拥有pms后计算出来的密钥并非会话密钥,而是一个中间密钥,最终的会话密钥是经过这个中间密钥计算出来的。至于这个计算方法,我也不清楚是什么?有知道的朋友望告知。
还有这一部分最后一句:
此外,若是前一步,服务器要求客户端证书,客户端会在这一步发送证书及相关信息。
我感受客户端发送证书应该是在这一步骤以前。
2014年8月23日 13:31 | # | 引用
王正一 说:
通俗易懂,太赞了
2014年9月15日 14:26 | # | 引用
freenet 说:
讲得很是好!学习了...
2014年10月 2日 16:58 | # | 引用
ikong 说:
2014年10月 9日 02:56 | # | 引用
兴杰 说:
提问一下,
握手的第3步,pre-master key 若是被拦截,是否能够被伪造或篡改?
由于只使用服务器的公钥加密。
2014年10月14日 12:09 | # | 引用
feix 说:
关于 至于为何必定要用三个随机数,来生成"会话密钥" 这个地方,其实还有一点:pre-master key 用服务器的公钥加密,能够防止第三方冒充服务器,由于任何人均可以获取已经公开的服务器公钥与客户段进行通讯。想要得到 pre-master key 明文只有利用服务器的私钥进行解密,因此这里进行了服务器的身份验证,也防止了中间人攻击。
另外,当服务器须要验证客户端时,客户端在发送 pre-master key 以前须要发送客户端公钥到服务器,能够选择对 pre-master key 用客户端的私钥签名而后再用服务器公钥加密,则服务器收到 pre-master key 同时对客户端进行了身份验证。
2014年10月16日 01:27 | # | 引用
中国证书CHINASSL 说:
好文章,通俗易懂的介绍SSL,本文将引用的中国证书CHINASSL博客,谢谢
2014年10月21日 10:38 | # | 引用
lp 说:
有个问题,握手时是明文通讯,那就会被截获到公钥、三个随机数,这样对话密钥不久能够知道了?那后面的对话加密不就会被解密?
2014年12月20日 01:41 | # | 引用
goodboy1983 说:
若是有个proxy, 先和客户端创建链接(不下发服务器证书,也不要求客户端上报证书),再和SP创建链接。 对服务器下发的证书默认接受。 至关于 CLIENT-PROXY之间是互相不认证证书,PROXY-WEB SERVER之间是验证服务器证书。 是否有安全隐患?
2014年12月20日 03:02 | # | 引用
nowlater 说:
@goodboy1983: 应该不会有安全隐患吧,pre-master key是用服务器端公钥加密的,client-proxy没法解密,不能获取到pre-master key。在安全要求更高的金融领域,服务器端会认证客户端,好比银行会给客户发u盾。这就更安全了。
2014年12月26日 11:54 | # | 引用
哈哈 说:
服务器收到客户端的第三个随机数pre-master key以后,计算生成本次会话所用的"会话密钥"。 这个会话密钥怎么计算的呢?
2015年1月13日 19:57 | # | 引用
youyingyang 说:
阮一峰同志是一座宝库
4年以前就开始看您的博客,可是基本只看人文社科类和科普性质的,视野很开阔,写的很棒。
最近随着本身的兴趣变化,开始学习编程,没想到搜“RESTful架构”,第一篇文章就是您的,写的太好了,明白如水!
高手有不少,可是乐意长时间坚持分享,并且作科普作的这么好的高手太少了!
感谢!
2015年1月15日 15:43 | # | 引用
hilojack 说:
将域名加密仍是有意义的,好比GFW 或者 Hacker 等想知道你请求了哪些网站,酱紫
2015年3月23日 23:57 | # | 引用
hilojack 说:
关于TLS/SSL 四次握手的一个疑问。
在协商会话密钥的阶段:
客户端的请求是用服务端的公钥加密的,第三方截获后是没有办法解密的;
服务端返回的请求是用服务端的私钥加密的,第三方截获后能够经过公钥解密的。
这引起个人疑问,在最后第4步,服务端返回的会话密钥(Session Key) 是用服务端的私钥加密的,那第三方不就能够解密出这个Session Key 吗?有了这个Session Key 后不就能够破译出通讯数据吗?
2015年3月24日 12:01 | # | 引用
Zhaodawei 说:
第四步服务器不会返回会话密钥!!!会话密钥是客户端和服务端各自经过三个随机数和一个密钥导出器最终导出的
2015年4月22日 16:06 | # | 引用
zhaodawei 说:
文中说“三个随机数经过一个密钥导出器最终导出一个对称密钥”,密钥导出器是什么?服务的公钥吗?
2015年4月22日 16:54 | # | 引用
zhaodawei 说:
2015年4月22日 19:23 | # | 引用
shun.aaron 说:
请教一个问题:
若是网络中有一台设备,这个设备具备了https服务器的证书和私钥,是否是意味着:这个设备可以经过服务器的私钥来计算出第三个随机数,而后根据相关算法来计算出服务器和client之间的通讯秘钥?
这样就表明了服务器和client之间的通讯内容不在是私密性的了?
2015年5月 9日 13:58 | # | 引用
passerbywhu 说:
HTTPS服务器的私钥你都有了还想怎样。。。-_-
2015年6月25日 11:36 | # | 引用
danieldong 说:
若是key exchange算法是ECDH,那么就不是索要公钥了,也就是说,不采用非对称加密来产生master-key
2015年7月 8日 17:18 | # | 引用
撒啊 说:
请教一下,为何在session ticket生效的状况下,依然须要交互随机数? session ticket生效有,已经不用从新生成对称密钥了。
2015年7月21日 23:40 | # | 引用
jedihy 说:
阮老师这篇博客说的很差。先后都有矛盾,有些地方不明确,容易误导。
若是认定握手是彻底明文,按阮老师的说法,那中间人直接就能够攻击了,由于他知道全部信息。关键在于随机数的传递这里,会不会用Server的公钥加密。这一点没有强调的话,这篇博客有什么意义,通讯安全性的关键在这里。正是用了中间人解不出的信息(须要私钥),因此安全才获得的保障,而并非由于你用了多少个随机数。不加密的话,你来回发一万次随机数中间人也可以看到。后面的对称密钥通讯过程就是扯淡了。
2015年7月27日 09:46 | # | 引用
大山 说:
我的以为随机数应该最后是这样的结果:3个随机数以某种组合并结合加密算法,客户端和服务器端各自都算出来了动态的私钥和公钥了,这个时候的通讯再也不是以服务器最先的公钥和私钥为准,而是在两方都知道公钥私钥的状况下通讯,服务器端以私钥加密,客户端以公钥解密,客户端以公钥加密,服务器端以私钥解密,至于服务器最原始的公钥和私钥,就是为了保证随机数的安全,不知道这样对不对
2015年8月28日 00:57 | # | 引用
少时诵诗书 说:
不对,握手完成后就是对称加密,怎么还会有公钥私钥这种非对称加密方法
2015年8月31日 13:06 | # | 引用
小白 说:
大体是看明白了,谁能提供一个pcap包 详细分析下就更加好了。我本身抓了包,都是加密的,看不明白呢
2015年9月 8日 16:30 | # | 引用
YorkYang 说:
一个证书可不能够供两个(不一样IP)服务器使用? 文中讲的 "真实IP" 的校验依据是否为发包的IP?
2015年12月14日 12:01 | # | 引用
gaodi 说:
求助各位大神,如今已知Server端私钥,用wireshark截取握手阶段client和server的random和加密了的pre_master_secret,如何具体解析出https中,http报文内容,最好能有C语言实现的函数和代码,多谢。
2016年1月15日 16:24 | # | 引用
王松 说:
赞,忽然发现,写技术博客,排版很重要!
2016年1月16日 16:21 | # | 引用
Pingia 说:
是这样的,我也想这么一问。
2016年2月21日 12:48 | # | 引用
Pingia 说:
后面的步骤须要解密这个key,若是被篡改,将不能解密,以后的步骤都不能继续下去了,而后就没有而后了。
2016年2月21日 12:55 | # | 引用
Pingia 说:
2016年2月21日 13:03 | # | 引用
Pingia 说:
我的以为这个 不在ssl协议要解决的范畴以内。
2016年2月21日 13:07 | # | 引用
Pingia 说:
说错了,第三个也传输给客户端的,只是第一个随机数须要私钥解开,这能够进行防范。
2016年2月21日 13:26 | # | 引用
Pingia 说:
2016年2月21日 13:30 | # | 引用
Pingia 说:
2016年2月21日 13:46 | # | 引用
bencanber 说:
解密只能使用服务器的私钥解密,而证书中只包含服务器的公钥,因此不会被破解
2016年2月22日 15:07 | # | 引用
pengfei 说:
我有个疑问,好比我控制着代理服务器
我知道 协商协议版本都是1.0 我也知道三次随机数第一次客户给服务器的 10,第二次服务器给客户端的 1050 第三次客户端给服务器的119,而后还知道他们协商的加密算法 RSA. 那我就能够本身按照加密算法RSA,用我看到的三个随机数生成一个秘钥了,这样我不是仍是能够解开你的通讯内容吗?
2016年3月 3日 12:01 | # | 引用
andy_chen 说:
"握手阶段"的全部通讯都是明文的。
对于这个,不知个人理解能否正确?
1.客户端->服务器:随机数,支持的加密方法
2.服务器->客户端:随机数,肯定加密方法
3.客户端->服务器:随机数(公钥加密)
这样,第一第二的随机数虽然可能被其余人截取,可是因为第三个随机数是经过公钥加密的,因此,只有对应的私钥能够解密,是安全的。
因此经过这三个随机数以及第二步肯定的对称加密的方法,客户端以及服务端各自生成对话密钥。以后就经过这个对话密钥来进行通讯
2016年3月 3日 14:39 | # | 引用