TLS协议四次通信过程:
对于上图可分为4步:
1.客户端发出请求(ClientHello)
首先,客户端先向服务器发出加密通信请求,在这一过程中 客户端需要向服务器提供以下信息:
1)支持的协议版本 TLS 1.0 2.0
2)一个客户端生成的随机数,用于一会生成“对话密钥”
3)支持的加密方法。例如:RSA公钥加密
4)支持的压缩方法
这里需要知道客户端发送的信息中不包括服务器域名
2.服务器回应(ServerHello)
服务器收到客户端请求后,向客户端发出回应,服务器的回应内容如下
1)确定使用的加密通信协议版本 TLS1.0 如果与之前的版本不一致,服务器关闭加密通信
2)一个服务器生成的随机数,用于一会的“对话密钥”
3)确定使用的加密方法,例如:RSA公钥加密
4)服务器证书
除此之外,服务器还会需要确定客户端的身份,就会包含一份请求(要求客户端提供客户端证书)
3.客户端回应
客户端收到服务器的证书后,会先去检测收到的服务器证书,是不是可信任的证书。如果证书过期,或者是不可信任的机构颁布,就会向访问者显示一个警告,告诉其是否需要继续通信
如果证书没有问题,客户端就是从证书总提取服务器的公钥,之后想服务器回应以下消息:
1)一个随机数,该随机数用于服务器公钥加密
2)编码改变通知
3)客户端结束握手通知,并且会发送一个Hash值,用来验证之前发送的信息正确性
至此,一共出现了三个随机数:1-3步骤中都会生成随机数(pre-master key),有个这三个随机数后,客户端和服务器都会同时有三个随机数,接着双方就用商定的加密方法,各自生成本次会话所用的同一把“会话密钥”
4.服务器的回应
服务器收到客户端的第三个随机数后,计算出本次会话所用的会话密钥。之后想客户端发出以下信息:
1)编码改变通知,表示双方的信息都是用商定后的加密方法发送
2)服务器握手结束通知,表示服务器的握手截断结束,同样会发送一段HASH给客户端用来校验。
转载至阮老师的帖子: