SSL/TSL要解決的問(wèn)題

在不使用SSL/TSL加密的HTTP通信就是不加密的通信，所有的信息都是明文傳播。帶來(lái)了以下幾個(gè)風(fēng)險(xiǎn)：

1. 竊聽(tīng)風(fēng)險(xiǎn)：第三方可以獲取通信內(nèi)容。
2. 篡改風(fēng)險(xiǎn)：第三方可修改通信內(nèi)容。
3. 冒充風(fēng)險(xiǎn)：第三方可以冒充他人進(jìn)行通信。

而SSL/TSL就是為了解決這三大風(fēng)險(xiǎn)而設(shè)計(jì)的：

1. 所有信息加密傳播，第三方無(wú)法得知通信內(nèi)容。
2. 添加信息校驗(yàn)機(jī)制，一旦通信信息被篡改，通信雙方就能發(fā)現(xiàn)。
3. 添加身份證書(shū)，防止被第三方假冒。

SSL/TSL的基本運(yùn)行原理

SSL/TSL基本思路采用的是公鑰加密法，也就是，客戶(hù)端先向服務(wù)器索要公鑰，然后用公鑰加密信息，服務(wù)器收到密文，然后用自己的私鑰解密信息。
在實(shí)際使用中為了解決公鑰被篡改的問(wèn)題引入了信任的數(shù)字證書(shū)；

將公鑰放在數(shù)字證書(shū)中，只要證書(shū)是可信任的，公鑰就是可信的

使用非對(duì)稱(chēng)加密的公鑰加密信息的計(jì)算量太大，為了減少計(jì)算耗時(shí)：

在每次回話中（session），客戶(hù)端和服務(wù)端都生成一個(gè)“對(duì)話秘鑰”，用它來(lái)加密信息。由于使用的是對(duì)稱(chēng)加密，
所以運(yùn)算速度非常快，而服務(wù)器的公鑰只用于加密“對(duì)話秘鑰”本身。這樣就減少了加密運(yùn)算消耗的時(shí)間。

從上面我們可以大致的總結(jié)一下SSL/TSL協(xié)議的基本過(guò)程如下：

1. 客戶(hù)端向服務(wù)端索要并驗(yàn)證公鑰。
2. 雙方協(xié)商生成“對(duì)話秘鑰”。
3. 雙方采用“對(duì)話秘鑰”進(jìn)行加密通信。
   前面兩步又稱(chēng)為“握手階段”。

握手階段分為一下步驟

1. 客戶(hù)端發(fā)出請(qǐng)求

客戶(hù)端向服務(wù)端發(fā)送加密通信請(qǐng)求，并提交一下信息：

• 支持協(xié)議的版本，比如TLS 1.0版本。
• 客戶(hù)端生成的隨機(jī)數(shù)，用于后面生成“對(duì)話秘鑰”。
• 支持的加密方法，如RSA加密。
• 支持的壓縮方法。

2. 服務(wù)器回應(yīng)請(qǐng)求

服務(wù)端收到客戶(hù)端請(qǐng)求后，向客戶(hù)端做出回應(yīng)。

• 確認(rèn)使用的加密通信版本，如TLS 1.0版本。如果瀏覽器與服務(wù)器支持的版本不一致，服務(wù)器關(guān)閉加密通信。
• 一個(gè)服務(wù)器生成的而隨機(jī)數(shù)，用于隨后的“對(duì)話秘鑰“。
• 確認(rèn)使用的加密方法，如RSA公鑰加密。
• 服務(wù)器證書(shū)。
  除了以上回應(yīng)，如果服務(wù)器需要確認(rèn)客戶(hù)端的身份，就會(huì)要求客戶(hù)端提供”客戶(hù)端證書(shū)“。

3. 客戶(hù)端結(jié)束握手請(qǐng)求

客戶(hù)端收到服務(wù)器的回應(yīng)以后，首先驗(yàn)證服務(wù)器的證書(shū)。如果證書(shū)不是可信任機(jī)構(gòu)頒布、或者證書(shū)中的域名與實(shí)際域名不一致、或者證書(shū)已經(jīng)過(guò)期，就會(huì)向訪問(wèn)者顯示一個(gè)警告，由其選擇是否還要繼續(xù)通信。
如果證書(shū)沒(méi)問(wèn)題，客戶(hù)端就會(huì)從證書(shū)中獲取服務(wù)器的公鑰，然后向服務(wù)器發(fā)送以下信息：

• 一個(gè)隨機(jī)數(shù)。該隨機(jī)數(shù)用服務(wù)器公鑰加密，防止被竊聽(tīng)。
• 編碼改變通知，表示隨后的信息都將用雙方商定的加密方法和秘鑰發(fā)送。
• 客戶(hù)端握手結(jié)束通知，表示客戶(hù)端握手階段已經(jīng)結(jié)束。這一項(xiàng)同時(shí)也是前面發(fā)送的所有內(nèi)容的hash值，用來(lái)供服務(wù)器校驗(yàn)。

上面第一項(xiàng)的隨機(jī)數(shù)，是整個(gè)握手階段出現(xiàn)的第三個(gè)隨機(jī)數(shù)，又稱(chēng)"pre-master key"。有了它以后，客戶(hù)端和服務(wù)器就同時(shí)有了三個(gè)隨機(jī)數(shù)，接著雙方就用事先商定的加密方法，各自生成本次會(huì)話所用的同一把"會(huì)話密鑰"。

4. 服務(wù)端結(jié)束握手請(qǐng)求

服務(wù)端收到客戶(hù)端的第三個(gè)隨機(jī)數(shù)pre-master key后，經(jīng)過(guò)計(jì)算生成本次會(huì)話所用的秘鑰。然后向客戶(hù)端發(fā)送一下信息：

• 編碼改變通知，表示隨后的信息將用雙方商定的加密方法和秘鑰發(fā)送。
• 服務(wù)器握手結(jié)束通知，表示服務(wù)器的握手階段已經(jīng)結(jié)束。這一項(xiàng)同時(shí)也是前面發(fā)送的所有內(nèi)容的hash值，用來(lái)供客戶(hù)端校驗(yàn)。

至此，整個(gè)握手階段全部結(jié)束。接下來(lái)，客戶(hù)端與服務(wù)器進(jìn)入加密通信，就完全是使用普通的HTTP協(xié)議，只不過(guò)用"會(huì)話密鑰"加密內(nèi)容。

本文章僅僅是個(gè)人學(xué)習(xí)記錄。
參考自SSL/TLS協(xié)議運(yùn)行機(jī)制的概述