TLS加密过程

Posted 2023-05-04

参考技术A ## SSL 证书类型

**certbot**

域名验证（domain validated, DV证书）

组织验证（organization validated,OV 证书）：验证组织是否正确

扩展验证（extended validation EV证书）：显示友好

根证书-》二级证书-》主站点

## TLS加密过程

1. 验证身份

2. 达成安全套件共识

3. 传递密钥

4. 加密通讯

HTTPS采用混合加密算法，即共享秘钥加密（对称加密）和公开秘钥加密（非对称加密）。

通信前准备工作：

A、数字证书认证机构的公开秘钥（CA公钥）已事先植入到浏览器里；

B、数字证书认证机构用自己的私有密钥对服务器的公开秘钥做数字签名，生成公钥证书，并颁发给服务器。

1、client hello

握手第一步是客户端向服务端发送 Client Hello 消息，这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件（Support Ciphers）和 SSL Version 等信息。

2、server hello

服务端向客户端发送 Server Hello 消息，这个消息会从 Client Hello 传过来的 Support Ciphers 里确定一份加密套件，这个套件决定了后续加密和生成摘要时具体使用哪些算法，另外还会生成一份随机数 Random2。注意，至此客户端和服务端都拥有了两个随机数（Random1+ Random2），这两个随机数会在后续生成对称秘钥时用到。

3、Certificate

这一步是服务端将自己的公钥证书下发给客户端。

4、Server Hello Done

Server Hello Done 通知客户端 Server Hello 过程结束。

5、Certificate Verify

客户端收到服务端传来的公钥证书后，先从 CA 验证该证书的合法性（CA公钥去解密公钥证书），验证通过后取出证书中的服务端公钥，再生成一个随机数 Random3，再用服务端公钥非对称加密 Random3生成 PreMaster Key。

6、Client Key Exchange

上面客户端根据服务器传来的公钥生成了 PreMaster Key，Client Key Exchange 就是将这个 key 传给服务端，服务端再用自己的私钥解出这个 PreMaster Key 得到客户端生成的 Random3。至此，客户端和服务端都拥有 Random1 + Random2 + Random3，两边再根据同样的算法就可以生成一份秘钥，握手结束后的应用层数据都是使用这个秘钥进行对称加密。

为什么要使用三个随机数呢？这是因为 SSL/TLS 握手过程的数据都是明文传输的，并且多个随机数种子来生成秘钥不容易被破解出来。

HTTPS加密（握手）过程

参考技术A

参考 HTTPS的加密流程 | 一篇文章读懂HTTPS及其背后的加密原理 | HTTPS协议详解 | Https加密过程 | Https握手过程

HTTPS （全称： Hypertext Transfer Protocol Secure， 超文本传输安全协议 ），是以安全为目标的HTTP通道，简单讲是 HTTP 的安全版。

具体是如何进行加密，解密，验证的，且看下图。

HTTPS加密请求（一次握手）过程

客户端和服务端之间的加密机制：

TLS协议是基于TCP协议之上的，图中第一个蓝色往返是TCP的握手过程，之后两次橙色的往返，我们可以叫做TLS的握手。握手过程如下：

这里可能要提一下什么是对称加密和非对称加密：
一般的对称加密像这样：

也就是说加密和解密用的是同一个秘钥。而非对称加密是这样的：

加密和解密是需要不同的秘钥的。
经过这几次握手成功后，客服端和服务端之间通信的加密算法和所需要的密钥也就确定下来了，之后双方的交互都可以使用对称加密算法加密了。

HTTPS为了追求性能，又要保证安全，采用了共享密钥加密和公开密钥加密混合的方式进行报文传输。
还是拿上面的锁和箱子的例子来说明。现在我们嫌弃每次加锁都要造个新的锁效率太慢了。我们现在有两个箱子，一个箱子用于方我们要给大傻的东西，并且

这个箱子加上了锁。另一个箱子用于存放那把锁的钥匙。我们这时候找大傻拿到钥匙A造了一把锁后将那个存放钥匙的箱子锁起来，然后将这个箱子给大傻，

大傻拿到箱子使用钥匙B开锁拿到钥匙。这时候我们将那个存放了东西的箱子给大傻，大傻就可以通过这把钥匙开锁拿到东西了。这样以后我们就可以一直通过

这把锁和箱子互相给东西了，而不用发一次数据造一次锁了。

就是说采用共有密钥加密方式传输共享密钥，当共享密钥安全到达服务端后往后的数据就都采用该密钥进行加密解密。