HTTPS原理探讨（一）

HTTPS基础

简单而言，HTTPS是使用TLS/SSL加密的HTTP协议。HTTP协议采用明文传输信息，存在信息窃听、信息篡改和信息劫持的风险，而协议TLS/SSL具备身份验证、信息加密和完整性校验的功能，能够避免此类问题。TLS/SSL全称安全传输层协议Transport Layer Security, 是介于TCP和HTTP之间的一层安全协议，不影响原有的TCP协议和HTTP协议，因此使用HTTPS基本上不须要对HTTP页面进行太多的改造。

TLS/SSL原理

HTTPS协议的主要功能基本都依赖于TLS/SSL协议，本节分析安全协议的实现原理。
TLS/SSL的功能实现主要依赖于三类基本算法：散列函数Hash、对称加密和非对称加密，其利用非对称加密实现身份认证和密钥协商，对称加密算法采用协商的密钥对数据加密，基于散列函数验证信息的完整性。

1. 散列函数Hash，常见的有MD五、SHA一、SHA256，该类函数特色是函数单向不可逆、对输入很是敏感、输出长度固定，针对数据的任何修改都会改变散列函数的结果，用于防止信息篡改并验证数据的完整性；
2. 对称加密，常见的有AES-CBC、DES、3DES、AES-GCM等，相同的密钥能够用于信息的加密和解密，掌握密钥才能获取信息，可以防止信息窃听，通讯方式是1对1；
3. 非对称加密，即常见的RSA算法，还包括ECC、DH等算法，算法特色是，密钥成对出现，通常称为公钥(公开)和私钥(保密)，公钥加密的信息只能私钥解开，私钥加密的信息只能公钥解开。所以掌握公钥的不一样客户端之间不能互相解密信息，只能和掌握私钥的服务器进行加密通讯，服务器能够实现1对多的通讯，客户端也能够用来验证掌握私钥的服务器身份。在信息传输过程当中，散列函数不能单独实现信息防篡改，由于明文传输，中间人能够修改信息以后从新计算信息摘要，所以须要对传输的信息以及信息摘要进行加密；对称加密的优点是信息传输1对1，须要共享相同的密码，密码的安全是保证信息安全的基础，服务器和N个客户端通讯，须要维持N个密码记录，且缺乏修改密码的机制；非对称加密的特色是信息传输1对多，服务器只须要维持一个私钥就可以和多个客户端进行加密通讯，但服务器发出的信息可以被全部的客户端解密，且该算法的计算复杂，加密速度慢。

结合三类算法的特色，TLS的基本工做方式是，客户端使用非对称加密与服务器进行通讯，实现身份验证并协商对称加密使用的密钥，而后对称加密算法采用协商密钥对信息以及信息摘要进行加密通讯，不一样的节点之间采用的对称密钥不一样，从而能够保证信息只能通讯双方获取

PKI体系

RSA身份验证的隐患

身份验证和密钥协商是TLS的基础功能，要求的前提是合法的服务器掌握着对应的私钥。但RSA算法没法确保服务器身份的合法性，由于公钥并不包含服务器的信息，存在安全隐患:
客户端C和服务器S进行通讯，中间节点M截获了两者的通讯；节点M本身计算产生一对公钥pub_M和私钥pri_M;C向S请求公钥时，M把本身的公钥pub_M发给了C;C使用公钥pub_M加密的数据可以被M解密，由于M掌握对应的私钥pri_M，而C没法根据公钥信息判断服务器的身份，从而C和M之间创建了"可信"加密链接;中间节点M和服务器S之间再创建合法的链接，所以C和S之间通讯被M彻底掌握，M能够进行信息的窃听、篡改等操做。另外，服务器也能够对本身的发出的信息进行否定，不认可相关信息是本身发出。所以该方案下至少存在两类问题：中间人攻击和信息抵赖。

---

身份验证-CA和证书

解决上述身份验证问题的关键是确保获取的公钥途径是合法的，可以验证服务器的身份信息，为此须要引入权威的第三方机构CA。CA负责核实公钥的拥有者的信息，并颁发认证"证书"，同时可以为使用者提供证书验证服务，即PKI体系。基本的原理为，CA负责审核信息，而后对关键信息利用私钥进行"签名"，公开对应的公钥，客户端能够利用公钥验证签名。CA也能够吊销已经签发的证书，基本的方式包括两类CRL文件和OCSP。CA使用具体的流程以下：

a.服务方S向第三方机构CA提交公钥、组织信息、我的信息(域名)等信息并申请认证；
b.CA经过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的全部权等；
c.如信息审核经过，CA会向申请者签发认证文件-证书。证书包含如下信息：申请者公钥、申请者的组织信息和我的信息、签发机构CA的信息、有效时间、证书序列号等信息的明文，同时包含一个签名；签名的产生算法：首先，使用散列函数计算公开的明文信息的信息摘要，而后，采用CA的私钥对信息摘要进行加密，密文即签名；
d.客户端C向服务器S发出请求时，S返回证书文件；
e.客户端C读取证书中的相关的明文信息，采用相同的散列函数计算获得信息摘要，而后，利用对应CA的公钥解密签名数据，对比证书的信息摘要，若是一致，则能够确认证书的合法性，即公钥合法；
f.客户端而后验证证书相关的域名信息、有效时间等信息；
g.客户端会内置信任CA的证书信息(包含公钥)，若是CA不被信任，则找不到对应CA的证书，证书也会被断定非法。

在这个过程注意几点：
a.申请证书不须要提供私钥，确保私钥永远只能服务器掌握；
b.证书的合法性仍然依赖于非对称加密算法，证书主要是增长了服务器信息以及签名；
c.内置CA对应的证书称为根证书，颁发者和使用者相同，本身为本身签名，即自签名证书；
d.证书=公钥+申请者与颁发者信息+签名；

---

证书链

如CA根证书和服务器证书中间增长一级证书机构，即中间证书，证书的产生和验证原理不变，只是增长一层验证，只要最后可以被任何信任的CA根证书验证合法便可。
a.服务器证书server.pem的签发者为中间证书机构inter，inter根据证书inter.pem验证server.pem确实为本身签发的有效证书；
b.中间证书inter.pem的签发CA为root，root根据证书root.pem验证inter.pem为本身签发的合法证书；
c.客户端内置信任CA的root.pem证书，所以服务器证书server.pem的被信任。

服务器证书、中间证书与根证书在一块儿组合成一条合法的证书链，证书链的验证是自下而上的信任传递的过程。
二级证书结构存在的优点：
a.减小根证书结构的管理工做量，能够更高效的进行证书的审核与签发；
b.根证书通常内置在客户端中，私钥通常离线存储，一旦私钥泄露，则吊销过程很是困难，没法及时补救；
c.中间证书结构的私钥泄露，则能够快速在线吊销，并从新为用户签发新的证书；
d.证书链四级之内通常不会对HTTPS的性能形成明显影响。

证书链有如下特色：
a.同一本服务器证书可能存在多条合法的证书链。
由于证书的生成和验证基础是公钥和私钥对，若是采用相同的公钥和私钥生成不一样的中间证书，针对被签发者而言，该签发机构都是合法的CA，不一样的是中间证书的签发机构不一样；
b.不一样证书链的层级不必定相同，可能二级、三级或四级证书链。
中间证书的签发机构多是根证书机构也多是另外一个中间证书机构，因此证书链层级不必定相同。

---

证书吊销

CA机构可以签发证书，一样也存在机制宣布以往签发的证书无效。证书使用者不合法，CA须要废弃该证书；或者私钥丢失，使用者申请让证书无效。主要存在两类机制：CRL与OCSP。(a) CRLCertificate Revocation List, 证书吊销列表，一个单独的文件。该文件包含了CA已经吊销的证书序列号(惟一)与吊销日期，同时该文件包含生效日期并通知下次更新该文件的时间，固然该文件必然包含CA私钥的签名以验证文件的合法性。证书中通常会包含一个URL地址CRL Distribution Point，通知使用者去哪里下载对应的CRL以校验证书是否吊销。该吊销方式的优势是不须要频繁更新，可是不能及时吊销证书，由于CRL更新时间通常是几天，这期间可能已经形成了极大损失。(b) OCSPOnline Certificate Status Protocol, 证书状态在线查询协议，一个实时查询证书是否吊销的方式。请求者发送证书的信息并请求查询，服务器返回正常、吊销或未知中的任何一个状态。证书中通常也会包含一个OCSP的URL地址，要求查询服务器具备良好的性能。部分CA或大部分的自签CA(根证书)都是未提供CRL或OCSP地址的，对于吊销证书会是一件很是麻烦的事情。