Https协议

Https协议原理

简单地来说，是基于ssl的http协议，依托ssl协议，https协议能够确保整个通信是加密的，密钥随机产生，并且能够通过数字证书验证通信双方的身份，以此来保障信息安全。其中证书包含了证书所代表一端的公钥，以及一些其所具有的基本信息，如机构名称，证书所作用域名、证书的数字签名等，通过数字签名能够验证证书的真实性。通信的内容使用对称加密方式进行加密，通信两端约定好通信密码后，通过公钥对密码进行加密传输，只有该公钥对应的私钥，也就是通信的另一端才能够解密获得通信密码，这样既保证了通信的安全，也使加密性能和时间成本可控。

Https协议栈

https协议在http协议和tcp协议增加一层安全层，所有请求和响应的数据在结果网络传输之前都会先进行加密，然后在进行传输。

image.png

Https协议既支持单向认证，也支持双向认证。
单向认证：只校验服务端证书的有效性。
双向认证：既校验服务端也校验客户端。

SSL/TLS协议

SSL的全称是Secure Socket Layer,既安全套接层。SSL协议独立于应用层，高层应用http,ftp,ssh都可以简历在ssl之上。
TLS全程是Transport Layer Security，传输层安全协议，是基于SSL的通用化协议，同样位于应用层和传输层之间，正逐步接替SSL成为下一代网络安全协议。
SSL/TLS分为两层：
1.Record Protocol，记录协议；
记录协议建立在可靠的传输协议（TCP）之上，提供数据封装，加密解密，数据压缩，数据校验等基本功能。
2,Handshake Protocol,握手协议。
建立在握手协议之上，在实际的数据传输开始前，进行加密算法的协商，通信密钥的交换，通信双方身份的认证。

SSL握手协议

握手协议过程

（1）客户端发送一个client hello消息，消息包含协议的版本信息、sessionid、客户端支持的加密算法、压缩算法等信息，并且还包含客户端产生的随机数。
（2）服务端响应一个server hello消息，消息包含服务端产生的随机数、协议版本信息、sessionid、压缩算法信息，还有服务端数字证书，如果服务端配置是双向验证，则服务端将请求客户端证书。
（3）客户端通过证书来验证服务端证书的有效性。
（4）如果证书验证通过，客户端将向服务端发送经过服务端公钥加密的预主密钥，即PreMaster Secret。假如服务端在上一个步骤请求了客户端证书，客户端会将客户端证书发送给服务端进行校验。
（5）服务端验证客户端证书的有效性，并用自己的私钥对PMS进行解密，使用client hello和server hello两个步骤所生成的随机数，加上解密的PMS来生成主密钥，即Master Secret,然后通过MS生成加密密钥。
（6）客户端也将使用client hello和server hello两个步骤所生成的随机数，加上解密的PMS来生成MS,,然后通过MS生成加密密钥。
（7）通知服务端未来信息将使用加密密钥来加密。
（8）给服务端发送加密密钥来加密信息，终止握手。
（9）通知客户端未来信息将使用加密密钥来加密。
（10）给客户端发送加密密钥来加密信息，终止握手。
完成握手后，客户端与服务端便可以开始加密数据通信：

加密通信过程