HTTPS 在传统的HTTP 层和TCP 层之间通过引入Transport Layer Security/Secure Socket Layer (TLS/SSL)加密层来实现可靠的传输。
HTTPS 建立安全连接( TLS 握手协商过程)的基本步骤:
1 )客户端浏览器发送信息到服务器,包括随机数RI 、支持的加密算法类型、协议版本、压缩算法等。注意该过程为明文。
2 )服务端返回信息,包括随机数R2,选定加密算法类型、协议版本以及服务器证书。注意该过程为明文。
3 )浏览器检查带有该网站公钥的证书。该证书需要由第三方CA 来签发,浏览器和操作系统会预置权威CA 的根证书。如果证书被篡改作假(中间人攻击),很容易通过CA 的证书验证出来。
4)如果证书没问题,则客户端用服务端证书中的公钥加密随机数R3 (又叫Pre MasterSecret),发送给服务器。此时,只有客户端和服务器都拥有Rl、R2 和R3 信息,基于随机数Rl 、R2 和R3 ,双方通过伪随机数函数来生成共同的对称会话密钥MasterSecret。
5 ) 后续客户端和服务端的通信都通过对称加密算法 ( 如 AES) 进行保护