目录

TSL握手过程

RSA密钥协商握手过程

TLS第一次握手

TLS第二次握手

客户端验证证书

TLS第三次握手

TLS 第四次握手

RSA 算法的缺陷

TSL握手过程

HTTP 由于是明文传输，所谓的明文，就是说客户端与服务端通信的信息都是肉眼可见的，随意使用一个抓包工具都可以截获通信的内容。

所以安全上存在以下三个风险：

• 窃听风险，比如通信链路上可以获取通信内容，用户号容易没。

• 篡改风险，比如强制植入垃圾广告，视觉污染，用户眼容易瞎。

• 冒充风险，比如冒充淘宝网站，用户钱容易没。

HTTPS 在 HTTP 与 TCP 层之间加入了 TLS 协议，来解决上述的风险。

HTTP和HTTPS结构对比：

TLS 协议是如何解决 HTTP 的风险的呢？

• 信息加密：HTTP 交互信息是被加密的，第三方就无法被窃取；

• 校验机制：校验信息传输过程中是否有被第三方篡改过，如果被篡改过，则会有警告提示；

• 身份证书：证明百度页面是真正的百度网站；

TLS的握手过程：

上图简要概述了TLS握手过程，其中每一个框都是一条记录，多条记录可以组合称一个TCP数据包发送，所以通常经过四次消息就可以完成TLS握手过程。HTTPS 是应用层协议，需要先完成 TCP 连接建立，然后完成 TLS 握手过程后，才能建立通信安全的连接。

事实上，不同的密钥交换算法，TLS 的握手过程可能会有一些区别（上图的握手过程是DHE密钥协商的过程，主要区别是DHE/ECDHE协商有server key exchange的握手过程，而RSA没有）。

这里先简单介绍下密钥交换算法，因为考虑到性能的问题，所以双方在加密应用信息时使用的是对称加密密钥，而对称加密密钥是不能被泄漏的，为了保证对称加密密钥的安全性，所以使用非对称加密的方式来保护对称加密密钥的协商，这个工作就是密钥交换算法负责的。

RSA密钥协商握手过程

TLS第一次握手

客户端首先发送一个Client Hello消息，向服务器打招呼，消息里面有客户端使用的TLS版本号、支持的密码套件列表，支持压缩算法，以及生成的随机数（Client Random），这个随机数会被服务端保留，因为它是生成对称加密密钥的材料之一。

TLS第二次握手

在服务器收到客户端的Client Hello消息后，会确认TLS版本号是否支持，和从密码套件列表中选择一个密码套件，还有选择压缩算法（安全性原因，一般不压缩），以及生成随机数（*Server Random*）。然后返回Server Hello消息，该消息包括TLS版本号和随机数，，然后从客户端的密码套件列表中选择一个合适的密码套件。

可以看到，服务端选择的密码套件是 “Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256”。

它是有固定格式和规范的。基本的形式是「密钥交换算法 + 签名算法 + 对称加密算法 + 摘要算法」， 一般 WITH 单词前面有两个单词，第一个单词是约定密钥交换的算法，第二个单词是约定证书的验证算法。比如刚才的密码套件的意思就是：

• 由于 WITH 单词只有一个 RSA，则说明握手时密钥交换算法和签名算法都是使用 RSA；

• 握手后的通信使用 AES 对称算法，密钥长度 128 位，分组模式是 GCM；

• 摘要算法 SHA256 用于消息认证和产生随机数；

就前面这两个客户端和服务端相互打招呼的过程，客户端和服务端就已确认了 TLS 版本和使用的密码套件，而且你可能发现客户端和服务端都会各自生成一个随机数，并且还会把随机数传递给对方，作为后续生成会话密钥的条件。此时服务端为了确认自己的身份，发送一个Server Certificate给客户端，该消息就包含数字证书。

随后，服务端发送Server Hello Done消息，目的为了告诉客户端，我已经把该给你的东西都给你了，本次打招呼完毕。

客户端验证证书

数字证书和CA机构

数字证书通常包含：

• 公钥；

• 持有者信息；

• 证书认证机构（CA）的信息；

• CA 对这份文件的数字签名及使用的算法；

• 证书有效期；

• 还有一些其他额外信息；

数字证书作用：用来认证公钥持有者的身份，防止第三方冒充。

服务端的证书都是由 CA （Certificate Authority，证书认证机构）签名的，CA 就是网络世界里的公安局、公证中心，具有极高的可信度，所以由它来给各个公钥签名，信任的一方签发的证书，那必然证书也是被信任的。

数字证书签发和验证流程

CA 签发证书的过程，如上图左边部分：

• 首先 CA 会把持有者的公钥、用途、颁发者、有效时间等信息打成一个包，然后对这些信息进行 Hash 计算，得到一个 Hash 值；

• 然后 CA 会使用自己的私钥将该 Hash 值加密，生成 Certificate Signature，也就是 CA 对证书做了签名；

• 最后将 Certificate Signature 添加在文件证书上，形成数字证书；

客户端校验服务端的数字证书的过程，如上图右边部分：

• 首先客户端会使用同样的 Hash 算法获取该证书的 Hash 值 H1；

• 通常浏览器和操作系统中集成了 CA 的公钥信息，浏览器收到证书后可以使用 CA 的公钥解密 Certificate Signature 内容，得到一个 Hash 值 H2 ；

• 最后比较 H1 和 H2，如果值相同，则为可信赖的证书，否则则认为证书不可信。

TLS第三次握手

客户端验证完证书后，认为可信则继续往下走。接着，客户端就会生成一个新的随机数 (pre-master)，用服务器的 RSA 公钥加密该随机数，通过「Change Cipher Key Exchange」消息传给服务端。

服务端收到后，用 RSA 私钥解密，得到客户端发来的随机数 (pre-master)。

至此，客户端和服务端双方都共享了三个随机数，分别是 Client Random、Server Random、pre-master。

于是，双方根据已经得到的三个随机数，生成会话密钥（Master Secret），它是对称密钥，用于对后续的 HTTP 请求/响应的数据加解密。

生成完会话密钥后，然后客户端发一个「Change Cipher Spec」，告诉服务端开始使用加密方式发送消息。

然后，客户端再发一个「Encrypted Handshake Message（Finishd）」消息，把之前所有发送的数据做个摘要，再用会话密钥（master secret）加密一下，让服务器做个验证，验证加密通信是否可用和之前握手信息是否有被中途篡改过。

可以发现，「Change Cipher Spec」之前传输的 TLS 握手数据都是明文，之后都是对称密钥加密的密文。

TLS 第四次握手

服务器也是同样的操作，发「Change Cipher Spec」和「Encrypted Handshake Message」消息，如果双方都验证加密和解密没问题，那么握手正式完成。

最后，就用「会话密钥」加解密 HTTP 请求和响应了。

RSA 算法的缺陷

使用 RSA 密钥协商算法的最大问题是不支持前向保密。因为客户端传递随机数（用于生成对称加密密钥的条件之一）给服务端时使用的是公钥加密的，服务端收到后，会用私钥解密得到随机数。所以一旦服务端的私钥泄漏了，过去被第三方截获的所有 TLS 通讯密文都会被破解。

为了解决这一问题，于是就有了 DH 密钥协商算法，这里简单介绍它的工作流程。

客户端和服务端各自会生成随机数，并以此作为私钥，然后根据公开的 DH 计算公示算出各自的公钥，通过 TLS 握手双方交换各自的公钥，这样双方都有自己的私钥和对方的公钥，然后双方根据各自持有的材料算出一个随机数，这个随机数的值双方都是一样的，这就可以作为后续对称加密时使用的密钥。

DH 密钥交换过程中，即使第三方截获了 TLS 握手阶段传递的公钥，在不知道的私钥的情况下，也是无法计算出密钥的，而且每一次对称加密密钥都是实时生成的，实现前向保密。

但因为 DH 算法的计算效率问题，后面出现了 ECDHE 密钥协商算法，我们现在大多数网站使用的正是 ECDHE 密钥协商算法。