代理服务器作为一个中间人,client先向proxy发出请求,proxy再将请求转发给server
server返回证书给proxy,proxy伪造一个证书给client。疑问:为什么可以随便伪造一个证书给client?客户端通过以下三种方式来验证证书的合法性:1、查看证书是否过期2、服务器证书上的域名是否和服务器的实际域名相匹配。3、校验证书链。这里可以手动添加信任的证书给客户端。证书当中包含服务器的公钥,来使客户端对后面的对称加密的密钥进行加密,然后传输给服务器。
client使用假证书的公钥来对pre-secret(主密钥)进行加密,之后proxy解出该pre-secret,使用真的公钥进行加密传输给服务器。服务器使用私钥进行解密。
握手完成
后面的两步就是使用对称加密进行通信了。
网友评论