您的位置: 首页  >  文章  >  https协议

https协议

分类: 文章 2023-03-21 19:11:47

HTTPS是通过一次非对称加密算法(如RSA算法)进行了协商**的生成与交换,然后在后续通信过程中就使用协商**进行对称加密通信。

一、浅谈https

https:http+ssl

HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。HTTPS协议传输的原理和过程简图如下所示:

https协议

一共有8个步骤,我们针对每一步,具体看看发生了什么事:

1.  第一步,客户端发起明文请求:将自己支持的一套加密规则、以及一个随机数(Random_C)发送给服务器。

2.  第二步,服务器初步响应:服务器根据自己支持的加密规则,从客户端发来的请求中选出一组加密算法与HASH算法,生成随机数,并 将自己的身份信息以证书(CA)的形式发回给浏览器。CA证书里面包含了服务器地址,加密公钥,以及证书的颁发机构等信息。这时服务器给客户端的包括选择使用的加密规则、CA证书、一个随机数(Random_S)。

3.  第三步,客户端接到服务器的初步响应后做四件事情:

(1)证书校验: 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等)。

(2)生成密码:浏览器会生成一串随机数的密码(Pre_master),并用CA证书里的公钥加密(enc_pre_master),用于传给服务器。

(3)计算协商**:

此时客户端已经获取全部的计算协商**需要的信息:两个明文随机数 Random_C 和 Random_S 与自己计算产生的 Pre-master,计算得到协商**enc_key。

                                 enc_key=Fuc(random_C, random_S, Pre-Master) 

(4)生成握手信息:使用约定好的HASH计算握手消息,并使用协商**enc_key及约定好的算法对消息进行加密。

4.  第四步,客户端将第三步产生的数据发给服务器:

这里要发送的数据有三条:

(1)用公钥加密过的服务器随机数密码enc_pre_master

(2)客户端发给服务器的通知,"以后我们都要用约定好的算法和协商**进行通信的哦"。

(3)客户端加密生成的握手信息。

5.  第五步,服务器接收客户端发来的数据要做以下四件事情:

(1)私钥解密:使用自己的私钥从接收到的enc_pre_master中解密取出密码Pre_master。

(2)计算协商**:此时服务器已经获取全部的计算协商**需要的信息:两个明文随机数 Random_C 和 Random_S 与Pre-master,计算得到协商**enc_key。

                                 enc_key=Fuc(random_C, random_S, Pre-Master) 

(3)解密握手消息:使用协商**enc_key解密客户端发来的握手消息,并验证HASH是否与客户端发来的一致。

(4)生成握手消息使用协商**enc_key及约定好的算法加密一段握手消息,发送给客户端。

6.  第六步,服务器将第五步产生的数据发给客户端:

这里要发的数据有两条:

(1)服务器发给客户端的通知,”听你的,以后我们就用约定好的算法和协商**进行通信哦“。

(2)服务器加密生成的握手信息。

7.  第七步客户端拿到握手信息解密,握手结束。

客户端解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束。

8.  第八步,正常加密通信

握手成功之后,所有的通信数据将由之前协商**enc_key及约定好的算法进行加密解密。

      客户端与服务器互相发送加密的握手消息并验证

目的是为了保证双方都获得了一致的密码,并且可以正常的加密解密数据,为后续真正数据的传输做一次测试

      HTTPS一般使用的加密与HASH算法如下:非对称加密算法:RSA,DSA/DSS对称加密算法:AES,RC4,3DESHASH算法:MD5,SHA1,SHA256。其中非对称加密算法用于在握手过程中加密生成的密码,对称加密算法用于对真正传输的数据进行加密,而HASH算法用于验证数据的完整性。由于客户端生成的密码是整个数据加密的关键,因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥,公钥只能用于加密数据,因此可以随意传输,而服务器的私钥用于对数据进行解密,所以服务器都会非常小心的保管自己的私钥,防止泄漏。

二、fiddler抓取https协议原理

fiddler是一个协议代理工具

https协议

Fiddler抓取HTTPS协议主要由以下几步进行:

1. 第一步,Fiddler截获客户端发送给服务器的HTTPS请求,Fiddler伪装成客户端向服务器发送请求进行握手 。

2. 第二步,服务器发回相应,Fiddler获取到服务器的CA证书, 用根证书公钥进行解密, 验证服务器数据签名, 获取到服务器CA证书公钥。然后Fiddler伪造自己的CA证书, 冒充服务器证书传递给客户端浏览器。

3. 第三步,与普通过程中客户端的操作相同,客户端根据返回的数据进行证书校验、生成密码Pre_master、用Fiddler伪造的证书公钥加密,并生成HTTPS通信用的对称**enc_key。 

4. 第四步,客户端将重要信息传递给服务器, 又被Fiddler截获。Fiddler将截获的密文用自己伪造证书的私钥解开, 获得并计算得到HTTPS通信用的对称**enc_key。Fiddler将对称**用服务器证书公钥加密传递给服务器。

5. 第五步,与普通过程中服务器端的操作相同,服务器用私钥解开后建立信任,然后再发送加密的握手消息给客户端。

6. 第六步,Fiddler截获服务器发送的密文, 用对称**解开, 再用自己伪造证书的私钥加密传给客户端。

7. 第七步,客户端拿到加密信息后,用公钥解开,验证HASH。握手过程正式完成,客户端与服务器端就这样建立了”信任“。

在之后的正常加密通信过程中,Fiddler如何在服务器与客户端之间充当第三者呢?

服务器—>客户端:Fiddler接收到服务器发送的密文, 用对称**解开, 获得服务器发送的明文。再次加密, 发送给客户端。

客户端—>服务端:客户端用对称**加密,被Fiddler截获后,解密获得明文。再次加密,发送给服务器端。由于Fiddler一直拥有通信用对称**enc_key, 所以在整个HTTPS通信过程中信息对其透明。

从上面可以看到,Fiddler抓取HTTPS协议成功的关键是**根证书**(具体是什么,可Google),这是一个信任链的起点,这也是Fiddler伪造的CA证书能够获得客户端和服务器端信任的关键。

 

相关推荐