HTTPS 原理解析

一 前言

　　在说HTTPS以前先说说什么是HTTP，HTTP就是咱们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的，也就是明文的，所以使用HTTP协议传输隐私信息很是不安全。为了保证这些隐私数据能加密传输，因而网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定义在RFC 6101中，以后IETF对SSL 3.0进行了升级，因而出现了TLS（Transport Layer Security） 1.0，定义在RFC 2246。实际上咱们如今的HTTPS都是用的TLS协议，可是因为SSL出现的时间比较早，而且依旧被如今浏览器所支持，所以SSL依然是HTTPS的代名词，但不管是TLS仍是SSL都是上个世纪的事情，SSL最后一个版本是3.0，从此TLS将会继承SSL优良血统继续为咱们进行加密服务。目前TLS的版本是1.2，定义在RFC 5246中，暂时尚未被普遍的使用 ()

概念可参考百科

http://baike.baidu.com/link?url=M8pBu1j_22f0PW6izvAOCTjhepyRcT320U9LDmjyzb586OYS_aBALxfqIGVca1V-8MJeSl3bTUEOThMuwpamPK

 

 

二  HTTPS 验证原理

　　Https在真正请求数据前，先会与服务有几回握手验证，以证实相互的身份，如下图为例

 

 

 

2.1  验证流程

 

 注：文中所写的序号与图不对应但流程是对应的

1 客户端发起一个https的请求，把自身支持的一系列Cipher Suite（密钥算法套件，简称Cipher）发送给服务端

 

2  服务端，接收到客户端全部的Cipher后与自身支持的对比，若是不支持则链接断开，反之则会从中选出一种加密算法和HASH算法

   以证书的形式返回给客户端 证书中还包含了 公钥 颁证机构 网址 失效日期等等。

 

3 客户端收到服务端响应后会作如下几件事

    3.1 验证证书的合法性    

　　  颁发证书的机构是否合法与是否过时，证书中包含的网站地址是否与正在访问的地址一致等

        证书验证经过后，在浏览器的地址栏会加上一把小锁(每家浏览器验证经过后的提示不同 不作讨论)

   3.2 生成随机密码

        若是证书验证经过，或者用户接受了不授信的证书，此时浏览器会生成一串随机数，而后用证书中的公钥加密。 　　　　　　

    3.3 HASH握手信息

       用最开始约定好的HASH方式，把握手消息取HASH值，  而后用 随机数加密 “握手消息+握手消息HASH值(签名)”  并一块儿发送给服务端

       在这里之因此要取握手消息的HASH值，主要是把握手消息作一个签名，用于验证握手消息在传输过程当中没有被篡改过。

 

4  服务端拿到客户端传来的密文，用本身的私钥来解密握手消息取出随机数密码，再用随机数密码 解密 握手消息与HASH值，并与传过来的HASH值作对比确认是否一致。

    而后用随机密码加密一段握手消息(握手消息+握手消息的HASH值 )给客户端

 

5  客户端用随机数解密并计算握手消息的HASH，若是与服务端发来的HASH一致，此时握手过程结束，以后全部的通讯数据将由以前浏览器生成的随机密码并利用对称加密算法进行加密  

     由于这串密钥只有客户端和服务端知道，因此即便中间请求被拦截也是无法解密数据的，以此保证了通讯的安全

  

非对称加密算法：RSA，DSA/DSS     在客户端与服务端相互验证的过程当中用的是对称加密 
对称加密算法：AES，RC4，3DES     客户端与服务端相互验证经过后，以随机数做为密钥时，就是对称加密
HASH算法：MD5，SHA1，SHA256  在确认握手消息没有被篡改时 

 

 

2.2  客户端如何验证 证书的合法性？

 

1. 验证证书是否在有效期内。

　　在服务端面返回的证书中会包含证书的有效期，能够经过失效日期来验证 证书是否过时

2. 验证证书是否被吊销了。

　　被吊销后的证书是无效的。验证吊销有CRL(证书吊销列表)和OCSP(在线证书检查)两种方法。

证书被吊销后会被记录在CRL中，CA会按期发布CRL。应用程序能够依靠CRL来检查证书是否被吊销了。

CRL有两个缺点，一是有可能会很大，下载很麻烦。针对这种状况有增量CRL这种方案。二是有滞后性，就算证书被吊销了，应用也只能等到发布最新的CRL后才能知道。

增量CRL也能解决一部分问题，但没有完全解决。OCSP是在线证书状态检查协议。应用按照标准发送一个请求，对某张证书进行查询，以后服务器返回证书状态。

OCSP能够认为是即时的（实际实现中可能会有必定延迟），因此没有CRL的缺点。

 

3. 验证证书是不是上级CA签发的。

windows中保留了全部受信任的根证书，浏览器能够查看信任的根证书，天然能够验证web服务器的证书，

是否是由这些受信任根证书颁发的或者受信任根证书的二级证书机构颁发的（根证书机构可能会授权给底下的中级证书机构，而后由中级证书机构颁发中级证书）

在验证证书的时候，浏览器会调用系统的证书管理器接口对证书路径中的全部证书一级一级的进行验证，只有路径中全部的证书都是受信的，整个验证的结果才是受信

 

 

 

 

 

三  手机如何抓取HTTPS的请求数据

 

　　　　当站点由HTTP转成HTTPS后是更安全了，可是有时候要看线上的请求数据解决问题时却麻烦了，由于是HTTPS的请求，你就算拦截到了那也是加密的数据，没有任何意义。

　　那有方法解决吗？ 答案是确定的！ 接下来就来个实例教程，教你们如何查看HTTPS的请求数据

 

　　首先须要安装Fiddler 用于拦截请求，和颁发https证书

 

3.1  Fiddler根证书导出

   

  按图中操做把导出，再将导出的的根证书" FiddlerRoot.cer" 的后辍名 改成"crt"  " FiddlerRoot.crt" 由于手机无法直接安装 cer格式的证书

 

    

 

3.2  证书安装

　 在本机把证书移到本机IIS中的某个网站的物理目录中，而后在手机浏览器中访问该证书的目录 如："192.168.0.102：8001/FiddlerRoot.crt"

 如图

 

    

 

　　此时手机会提示按装根证书，其实安装一个不受信的根证书是很是危险的，若是你安装了某些钓鱼网站或者有危害的根证书，那只要是该根证书下的全部证书都会验证经过，

那随便一个钓鱼网的网站只要安装了该根证书下的证书，都不会有任何警告提示。

极可能让用户有财产损失。因此在安装根证书时，手机系统会要求你输入锁屏密码，以确保是本人操做。

安装过程以下

 

　　Fiddler的根证书名字都提示了是不受信的根证书

    

 

安装完成

 

    

 

 

 

 

3.3  经过Fiddler抓取手机的HTTPS请求

 

       Fiddler默认侦听的端口是8888,把手机WiFI的Http 代理设为本机Fiddler的地址以下图

   这样手机上全部的请求都会先经过Fiddler，Fiddler再转发到目标服务器

 

注意： 在家中的路由器中有线与无线一般不在一个网段，会致使Fiddler没法抓到手机的包，须要手动设置路由，可自行百度

 

    

 

 

 

    代理也设好以后即可以开始抓到Https的请求内容了如图

Https的默认端口号是 “443”能够看出红框中的是未装根证书前的请求，加了一把小锁，并且请求记录都是灰色的

而安装证书后请求则一切正常，请求内容也均可以正常看到。

 

    

 

 

3.4  为何安装了Fiddler根证书能够看到Https请求内容

 

　　要解释这个问题，就须要了解最开始的Https的验证原理了，回顾一下，先是客户端把本身支持的加密方式提交到服务端，而后服务端 会返回一个证书

到这一步问题来了，手机未什么要安装Fiddler的证书呢？

　　第一 由于Fiddler在客户端(手机)发出Https请求时，充当了服务器的角色，须要返回一个证书给客户端，

可是Fiddler的证书并非CA机构颁发的，客户端一验证就知道是假的链接确定就断了，那怎么办呢？

那就想办法让客户端信任这个服务端，因而就在客户端安装一个Fiddler的根证书。

因此只要是经过Fiddler的Https请求，验证根证书时天然会经过，由于Fiddler的根证书你已经受信了！

 

     第二 如今只是客户端(手机)和Fiddler这个伪服务端的Https验证经过了，尚未到真正的服务端去取数据的，此时Fiddler会以客户端的身份与真正的服务端再进行一次HTTPS的验证，最后拿到数据后

又以服务端的身份与客户端(手机)通讯。也就是说在一次请求中数据被两次加解密，一次是手机到Fiddler，一次是Fiddler到真正的服务端。

 

整个过程  手机----》Fiddler----》 服务器  Fiddler 即充当了服务端又充当了客户端，才使得数据可以正常的交互，这个过程当中最重要的一环就是手机端安装的 根证书！

 

 

 

 

四  总结

 

　写了这么多，其实也只是把Https的基本流程写清楚了一部分，这其中每个步骤深刻下去都是一门学科，而对于咱们而言，能清楚其大体运做流程，作到心中有数据就算能够了，

Https在目前的网络数据安全传输占据着重要地位，目前可能也没有更优的方案来代替Https。另一定要注意 不要随便安装不肯定的的根证书，以避免带来没必要要的损失。

写这篇文章时，已经进入个人春节假期，而我也已经踏上了 回家的火车，你们有疑问能够在评论中回复，若有错误之处还望你们能指出，以避免误导他人

 

提早祝你们新年快乐！

 

 

 

 

若是您以为本文让您有所收获，不妨点下赞，为个人付出，给一点点回报！

若是您以为本人也有点意思，不妨点个观注，你们一块儿谈技术，谈人生！

 

 

 如下为参考资料

http://www.guokr.com/post/114121/  https原理

 

http://www.guokr.com/post/116169/ SSL证书

 

http://www.cnblogs.com/svan/p/5090201.html https工做原理

 

http://blog.csdn.net/clh604/article/details/22179907 Https 原理

 

https://www.zhihu.com/question/37370216/answer/71956414   浏览器如何验证HTTPS证书的合法性？

 

http://blog.csdn.net/wkk2620632/article/details/39433673    公钥证书cer,pfx

 

http://www.07net01.com/zhishi/640504.html   数字证书资料cer和pfx的区别