SSL/TLS协议运行机制的概述

悟静 2015-02-24

服务器 域名 加密 互联网 SSL

SSL/TLS协议运行机制的概述

作者: 阮一峰

日期: 2014年2月 5日

互联网的通信安全,建立在SSL/TLS协议之上。

本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档

一、作用

不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三大风险。

(1) 窃听风险(eavesdropping):第三方可以获知通信内容。

(2) 篡改风险(tampering):第三方可以修改通信内容。

(3) 冒充风险(pretending):第三方可以冒充他人身份参与通信。

SSL/TLS协议是为了解决这三大风险而设计的,希望达到:

(1) 所有信息都是加密传播,第三方无法窃听。

(2) 具有校验机制,一旦被篡改,通信双方会立刻发现。

(3) 配备身份证书,防止身份被冒充。

互联网是开放环境,通信双方都是未知身份,这为协议的设计带来了很大的难度。而且,协议还必须能够经受所有匪夷所思的攻击,这使得SSL/TLS协议变得异常复杂。

二、历史

互联网加密通信协议的历史,几乎与互联网一样长。

1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。

1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。

1996年,SSL 3.0版问世,得到大规模应用。

1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。

2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2011年TLS 1.2的修订版

目前,应用最广泛的是TLS 1.0,接下来是SSL 3.0。但是,主流浏览器都已经实现了TLS 1.2的支持。

TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。

三、基本的运行过程

SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。

但是,这里有两个问题。

(1)如何保证公钥不被篡改?

解决方法:将公钥放在数字证书中。只要证书是可信的,公钥就是可信的。

(2)公钥加密计算量太大,如何减少耗用的时间?

解决方法:每一次对话(session),客户端和服务器端都生成一个"对话密钥"(session key),用它来加密信息。由于"对话密钥"是对称加密,所以运算速度非常快,而服务器公钥只用于加密"对话密钥"本身,这样就减少了加密运算的消耗时间。

因此,SSL/TLS协议的基本过程是这样的:

(1) 客户端向服务器端索要并验证公钥。

(2) 双方协商生成"对话密钥"。

(3) 双方采用"对话密钥"进行加密通信。

上面过程的前两步,又称为"握手阶段"(handshake)。

四、握手阶段的详细过程

"握手阶段"涉及四次通信,我们一个个来看。需要注意的是,"握手阶段"的所有通信都是明文的。

4.1 客户端发出请求(ClientHello)

首先,客户端(通常是浏览器)先向服务器发出加密通信的请求,这被叫做ClientHello请求。

在这一步,客户端主要向服务器提供以下信息。

(1) 支持的协议版本,比如TLS 1.0版。

(2) 一个客户端生成的随机数,稍后用于生成"对话密钥"。

(3) 支持的加密方法,比如RSA公钥加密。

(4) 支持的压缩方法。

这里需要注意的是,客户端发送的信息之中不包括服务器的域名。也就是说,理论上服务器只能包含一个网站,否则会分不清应该向客户端提供哪一个网站的数字证书。这就是为什么通常一台服务器只能有一张数字证书的原因。

对于虚拟主机的用户来说,这当然很不方便。2006年,TLS协议加入了一个Server Name Indication扩展,允许客户端向服务器提供它所请求的域名。

4.2 服务器回应(SeverHello)

服务器收到客户端请求后,向客户端发出回应,这叫做SeverHello。服务器的回应包含以下内容。

(1) 确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。

(2) 一个服务器生成的随机数,稍后用于生成"对话密钥"。

(3) 确认使用的加密方法,比如RSA公钥加密。

(4) 服务器证书。

除了上面这些信息,如果服务器需要确认客户端的身份,就会再包含一项请求,要求客户端提供"客户端证书"。比如,金融机构往往只允许认证客户连入自己的网络,就会向正式客户提供USB密钥,里面就包含了一张客户端证书。

4.3 客户端回应

客户端收到服务器回应以后,首先验证服务器证书。如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,就会向访问者显示一个警告,由其选择是否还要继续通信。

如果证书没有问题,客户端就会从证书中取出服务器的公钥。然后,向服务器发送下面三项信息。

(1) 一个随机数。该随机数用服务器公钥加密,防止被窃听。

(2) 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。

(3) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。

上面第一项的随机数,是整个握手阶段出现的第三个随机数,又称"pre-master key"。有了它以后,客户端和服务器就同时有了三个随机数,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把"会话密钥"。

至于为什么一定要用三个随机数,来生成"会话密钥",dog250解释得很好:

"不管是客户端还是服务器,都需要随机数,这样生成的密钥才不会每次都一样。由于SSL协议中证书是静态的,因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性。

对于RSA密钥交换算法来说,pre-master-key本身就是一个随机数,再加上hello消息中的随机,三个随机数通过一个密钥导出器最终导出一个对称密钥。

pre master的存在在于SSL协议不信任每个主机都能产生完全随机的随机数,如果随机数不随机,那么pre master secret就有可能被猜出来,那么仅适用pre master secret作为密钥就不合适了,因此必须引入新的随机因素,那么客户端和服务器加上pre master secret三个随机数一同生成的密钥就不容易被猜出了,一个伪随机可能完全不随机,可是是三个伪随机就十分接近随机了,每增加一个自由度,随机性增加的可不是一。"

此外,如果前一步,服务器要求客户端证书,客户端会在这一步发送证书及相关信息。

4.4 服务器的最后回应

服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的"会话密钥"。然后,向客户端最后发送下面信息。

(1)编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。

(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。

至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的HTTP协议,只不过用"会话密钥"加密内容。

五、参考链接

(完)

相关文章

  • 2015.02.01: MVC,MVP 和 MVVM 的图示
    复杂的软件必须有清晰合理的架构,否则无法开发和维护。
  • 2014.11.29: 数据可视化:基本图表
    "数据可视化"可以帮助用户理解数据,一直是热门方向。
  • 2014.09.24: SSL延迟有多大?
    据说,Netscape公司当年设计SSL协议的时候,有人提过,将互联网所有链接都变成HTTPs开头的加密链接。
  • 2014.09.20: 图解SSL/TLS协议
    本周,CloudFlare宣布,开始提供Keyless服务,即你把网站放到它们的CDN上,不用提供自己的私钥,也能使用SSL加密链接。

广告(购买广告位)

留言(36条)

好文。全面而易懂

坏蛋总不放过任何一丝做恶的机会,太多不要脸的运营商在链路劫持强插广告,直接修改用户的HTTP数据包,再就是NSA之流肆无忌惮的窃听

发现一个HTTPS有意思的地方,只要53端口数据被转发,不管域名对应的DNS解析IP是不是域名真实IP,只要最后都是53端口转发到真实IP之上,就不会弹HTTPS证书错误

比如 https://a.com 对应 ipa 不通

那么劫持DNS解析 https://a.com 到 ipb上 (ipb是通的)

只要在ipb上设置 ipb:53转发到 ipa:53

这样访问 https://a.com 就通了,而且没证书错误

启用Server Name Indication扩展后,第一步客户端发送请求,同时明文发送域名到server?

您好,我有一个疑问。
第一步是用服务器公钥加密的。而服务器公钥包含在证书中。但是如果入侵者获取到服务器证书,并用于解密之后的key,再用key来解密通信内容,这样怎么防范?

阮老师写的文章都是鞭辟入里啊,一般是站在那些角度去阐述一个观点或者描述一个事物呢?

Smart !智慧的发明!!

引用古明地恋的发言:

您好,我有一个疑问。
第一步是用服务器公钥加密的。而服务器公钥包含在证书中。但是如果入侵者获取到服务器证书,并用于解密之后的key,再用key来解密通信内容,这样怎么防范?

服务器证书只包含公钥,无法解密key。解密需要用私钥。

私钥一般放在server端。
如果能拿到私钥,基本上可以肯定被入侵了。
这时候获取私钥都不算个事了你说是不。

阮兄的文章非常值得一读,简洁又能把事情的来龙去脉讲的清清楚楚的,不简单。

引用Niclau的发言:

启用Server Name Indication扩展后,第一步客户端发送请求,同时明文发送域名到server?

对的, 确实是明文, 否则服务端无法确定向客户端推送哪张证书
而且, 也没法使用密文, 因为密钥尚未协商好
再者, 使用密文也没有意义, 篡改域名只能影响服务端返回的证书, 而所有的证书本来就都是公开的

@李狗蛋:

不太能理解你想表达的意思
不过, SSL/TLS协议并不关心双方的IP, DNS劫持是无法攻击SSL/TLS的
所以, 我觉得你的这个测试结果另有原因

其实,看阮兄的博客主要目的就是学习阮兄的总结与再表达能力,对于这篇来说,真的不懂,但是感觉看得很舒服,层次清晰,用语准确,赞!

文章写的浅显易懂,看了很有收获。不过,需要说明的是,使用PKI机制进行密钥交换只是TLS规范的一种实现形式,还有其他的形式可以用于密钥交换,比如SRP和PSK协议。

引用CJey的发言:

对的, 确实是明文, 否则服务端无法确定向客户端推送哪张证书
而且, 也没法使用密文, 因为密钥尚未协商好
再者, 使用密文也没有意义, 篡改域名只能影响服务端返回的证书, 而所有的证书本来就都是公开的

如果有中间人通过判断域名,来决定是否阻断连接怎么办呢

请考虑介绍下常用于SPDY的HTTPS falst start握手,它比标准的握手少一个“server finished"的步骤

好文章。

感谢!
没有微信公众号?

文中的 SeverHello 是不是应该是 ServerHello?

只有第一次的握手过程是明文的,之后的自动重协商通信是用上一次的密钥来加密的。

您好,我有一个疑问。

第一步,服务器端的响应内容包含证明服务器自身的证书,客户端得到证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?

查了好多文章,终于在这里把整个握手流程以及中间一些疑问搞清楚了,现在再去看那些代码,清楚了很多,感谢博主。

引用yd的发言:

您好,我有一个疑问。

第一步,服务器端的响应内容包含证明服务器自身的证书,客户端得到证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?

证书里是服务器的公钥和身份信息,这些是经过证书颁发机构即CA公证过的,客户端拿到后去CA验证,看这个公钥是不是服务器的,若不是说明证书是伪造的,当然如果证书经过数字签名证书就不可能被伪造了

来支持一下阮老师写的东西

看来说清楚这个东西,还是太过难了一点,这个文章也太过概述了,感觉很多关键点没有说清楚啊,看得我好累。不过还是感谢阮老师,已经让我省了不少时间了。

引用yd的发言:

您好,我有一个疑问。

第一步,服务器端的响应内容包含证明服务器自身的证书,客户端得到证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?

这里还有一个信任链的问题,一般都是有一家第三方的根证书签名机构办法证书,我们相信这个第三方机构,从而相信它颁发的证书,当然也有根证书授权下一层的证书颁发机构,然后由这个机构给网站服务器做验证的情况

我感觉4。3部分 的(1)步和(2)(3)两步中间还有些步骤可以注明清楚点。
事实上服务端和客户端在拥有pms后计算出来的密钥并不是会话密钥,而是一个中间密钥,最终的会话密钥是通过这个中间密钥计算出来的。至于这个计算方法,我也不清楚是什么?有知道的朋友望告知。

还有这一部分最后一句:
此外,如果前一步,服务器要求客户端证书,客户端会在这一步发送证书及相关信息。

我感觉客户端发送证书应该是在这一步骤之前。

通俗易懂,太赞了

讲得非常好!学习了...

需要注意的是,"握手阶段"的所有通信都是明文的。
这句话不对吧?pre master key应该是客户端用服务端公钥加密之后再发送给服务端的,这不能算明文吧?

提问一下,
握手的第3步,pre-master key 如果被拦截,是否可以被伪造或篡改? 
因为只使用服务器的公钥加密。

关于 至于为什么一定要用三个随机数,来生成"会话密钥" 这个地方,其实还有一点:pre-master key 用服务器的公钥加密,可以防止第三方冒充服务器,因为任何人都可以获取已经公开的服务器公钥与客户段进行通信。想要获得 pre-master key 明文只有利用服务器的私钥进行解密,所以这里进行了服务器的身份验证,也防止了中间人攻击。

另外,当服务器需要验证客户端时,客户端在发送 pre-master key 之前需要发送客户端公钥到服务器,可以选择对 pre-master key 用客户端的私钥签名然后再用服务器公钥加密,则服务器收到 pre-master key 同时对客户端进行了身份验证。

好文章,通俗易懂的介绍SSL,本文将引用的中国证书CHINASSL博客,谢谢

有个问题,握手时是明文通信,那就会被截获到公钥、三个随机数,这样对话密钥不久可以知道了?那后面的对话加密不就会被解密?

如果有个proxy, 先和客户端建立连接(不下发服务器证书,也不要求客户端上报证书),再和SP建立连接。 对服务器下发的证书默认接受。 相当于 CLIENT-PROXY之间是互相不认证证书,PROXY-WEB SERVER之间是验证服务器证书。 是否有安全隐患?

@goodboy1983: 应该不会有安全隐患吧,pre-master key是用服务器端公钥加密的,client-proxy无法解密,不能获取到pre-master key。在安全要求更高的金融领域,服务器端会认证客户端,比如银行会给客户发u盾。这就更安全了。

服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的"会话密钥"。 这个会话密钥怎么计算的呢?

阮一峰同志是一座宝库
4年之前就开始看您的博客,但是基本只看人文社科类和科普性质的,视野很开阔,写的很棒。
最近随着自己的兴趣变化,开始学习编程,没想到搜“RESTful架构”,第一篇文章就是您的,写的太好了,明白如水!
高手有很多,但是乐意长时间坚持分享,而且做科普做的这么好的高手太少了!
感谢!

登录 后评论
下一篇
云攻略小攻
2289人浏览
2019-10-21
相关推荐
SSL/TLS协议运行机制的概述
1019人浏览
2016-06-07 16:44:38
图解SSL/TLS协议
1621人浏览
2016-06-07 16:40:42
图解SSL/TLS协议
427人浏览
2014-09-25 20:57:00
图解SSL/TLS协议(转)
445人浏览
2014-10-06 23:58:00
SSL/TLS算法流程解析
507人浏览
2016-12-25 20:56:00
SPDY、HTTP/2、QUIC协议
840人浏览
2014-04-02 11:27:20
SSL/TLS 原理详解
1954人浏览
2017-05-02 16:38:00
SSL WSS HTTPS
823人浏览
2017-09-09 15:19:00
HTTPS学习笔记
588人浏览
2017-11-15 15:36:00
深入浅出HTTPS
785人浏览
2018-08-05 17:52:29
0
0
0
858