面试官:请说一下,HTTPS的加密过程是怎样的?
由于HTTP使用明文传输数据,存在一些潜在的安全威胁和漏洞,比如传输信息被窃听、篡改和劫持。
为了弥补这些漏洞,人们提出了HTTPS来保证HTTP通信的安全性。HTTPS采用SSL/TLS协议对HTTP通信进行加密,并通过数字证书验证来保证通信双方的身份以及数据的完整性和保密性。
HTTPS的传输过程,首先是完成TCP三次握手,接着进行SSL/TLS四次握手,最后基于SSL/TLS协商的秘钥,将HTTP协议的数据通过秘钥加密进行传输。HTTPS的加密过程主要指的就是SSL/TLS四次握手过程。
SSL/TLS的四次握手过程是:
1 客户端向服务器发起ClientHello消息,请求建立TLS连接,并向服务端发送支持的TLS协议版本、一个随机数和支持的加密方法列表,比如RSA公钥加密,
2 服务器收到客户端请求后,回应SeverHello消息,消息中包含确认使用的TLS协议版本、一个随机数、加密方法以及服务器的数字证书。
数字证书是由专业的证书服务机构CA颁发,证书中包含服务器的公钥,CA机构使用自己的私钥将服务器公钥进行加密。
3 客户端收到服务器回应以后,首先验证服务器证书,如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串新的随机数,并用证书中提供的公钥加密,发送给服务器。此时,客户端会根据前面的三个随机数,通过一定的算法来生成“会话密钥”,这个会话密钥就是接下来双方进行对称加密使用的密钥。同时,客户端还会发送握手结束通知,通知消息中会把之前所有内容的数据做个摘要,用来供服务端校验。
4 服务端收到客户端的回复后,通过协商的加密算法将客户端的第三个随机数解密出来,然后使用跟客户端同样的算法,根据前面的三个随机数计算出 “会话密钥”。同时,服务端也会发送握手结束通知,通知消息中会把之前所有内容的数据做个摘要,用来供客户端校验。
至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的 HTTP 协议,只不过用 “会话密钥” 加密内容,这时候是对称加密的,因为客户端和服务器使用的是相同的秘钥。
整体上看,SSL/TLS 在工作流程中通过如下四个方面保证安全性:
1 通过 CA 证书体系交换服务器的公钥来验证服务器的合法性
2 通过数字签名,确保数据的完整性,防止数据被篡改
3 通过非对称加密算法,交换用于对称加密的密钥,保证会话秘钥的安全传输
4 通过对称加密算法,加密HTTP的数据进行正常的网络通信