SSL/TLS协议运行机制的概述

作者: 阮一峰

日期: 2014年2月 5日

互联网的通信安全,建立在SSL/TLS协议之上。

本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档

一、作用

不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三大风险。

(1) 窃听风险(eavesdropping):第三方可以获知通信内容。

(2) 篡改风险(tampering):第三方可以修改通信内容。

(3) 冒充风险(pretending):第三方可以冒充他人身份参与通信。

SSL/TLS协议是为了解决这三大风险而设计的,希望达到:

(1) 所有信息都是加密传播,第三方无法窃听。

(2) 具有校验机制,一旦被篡改,通信双方会立刻发现。

(3) 配备身份证书,防止身份被冒充。

互联网是开放环境,通信双方都是未知身份,这为协议的设计带来了很大的难度。而且,协议还必须能够经受所有匪夷所思的攻击,这使得SSL/TLS协议变得异常复杂。

二、历史

互联网加密通信协议的历史,几乎与互联网一样长。

1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。

1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。

1996年,SSL 3.0版问世,得到大规模应用。

1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。

2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2011年TLS 1.2的修订版

目前,应用最广泛的是TLS 1.0,接下来是SSL 3.0。但是,主流浏览器都已经实现了TLS 1.2的支持。

TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。

三、基本的运行过程

SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。

但是,这里有两个问题。

(1)如何保证公钥不被篡改?

解决方法:将公钥放在数字证书中。只要证书是可信的,公钥就是可信的。

(2)公钥加密计算量太大,如何减少耗用的时间?

解决方法:每一次对话(session),客户端和服务器端都生成一个"对话密钥"(session key),用它来加密信息。由于"对话密钥"是对称加密,所以运算速度非常快,而服务器公钥只用于加密"对话密钥"本身,这样就减少了加密运算的消耗时间。

因此,SSL/TLS协议的基本过程是这样的:

(1) 客户端向服务器端索要并验证公钥。

(2) 双方协商生成"对话密钥"。

(3) 双方采用"对话密钥"进行加密通信。

上面过程的前两步,又称为"握手阶段"(handshake)。

四、握手阶段的详细过程

"握手阶段"涉及四次通信,我们一个个来看。需要注意的是,"握手阶段"的所有通信都是明文的。

4.1 客户端发出请求(ClientHello)

首先,客户端(通常是浏览器)先向服务器发出加密通信的请求,这被叫做ClientHello请求。

在这一步,客户端主要向服务器提供以下信息。

(1) 支持的协议版本,比如TLS 1.0版。

(2) 一个客户端生成的随机数,稍后用于生成"对话密钥"。

(3) 支持的加密方法,比如RSA公钥加密。

(4) 支持的压缩方法。

这里需要注意的是,客户端发送的信息之中不包括服务器的域名。也就是说,理论上服务器只能包含一个网站,否则会分不清应该向客户端提供哪一个网站的数字证书。这就是为什么通常一台服务器只能有一张数字证书的原因。

对于虚拟主机的用户来说,这当然很不方便。2006年,TLS协议加入了一个Server Name Indication扩展,允许客户端向服务器提供它所请求的域名。

4.2 服务器回应(SeverHello)

服务器收到客户端请求后,向客户端发出回应,这叫做SeverHello。服务器的回应包含以下内容。

(1) 确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。

(2) 一个服务器生成的随机数,稍后用于生成"对话密钥"。

(3) 确认使用的加密方法,比如RSA公钥加密。

(4) 服务器证书。

除了上面这些信息,如果服务器需要确认客户端的身份,就会再包含一项请求,要求客户端提供"客户端证书"。比如,金融机构往往只允许认证客户连入自己的网络,就会向正式客户提供USB密钥,里面就包含了一张客户端证书。

4.3 客户端回应

客户端收到服务器回应以后,首先验证服务器证书。如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,就会向访问者显示一个警告,由其选择是否还要继续通信。

如果证书没有问题,客户端就会从证书中取出服务器的公钥。然后,向服务器发送下面三项信息。

(1) 一个随机数。该随机数用服务器公钥加密,防止被窃听。

(2) 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。

(3) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。

上面第一项的随机数,是整个握手阶段出现的第三个随机数,又称"pre-master key"。有了它以后,客户端和服务器就同时有了三个随机数,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把"会话密钥"。

至于为什么一定要用三个随机数,来生成"会话密钥",dog250解释得很好:

"不管是客户端还是服务器,都需要随机数,这样生成的密钥才不会每次都一样。由于SSL协议中证书是静态的,因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性。

对于RSA密钥交换算法来说,pre-master-key本身就是一个随机数,再加上hello消息中的随机,三个随机数通过一个密钥导出器最终导出一个对称密钥。

pre master的存在在于SSL协议不信任每个主机都能产生完全随机的随机数,如果随机数不随机,那么pre master secret就有可能被猜出来,那么仅适用pre master secret作为密钥就不合适了,因此必须引入新的随机因素,那么客户端和服务器加上pre master secret三个随机数一同生成的密钥就不容易被猜出了,一个伪随机可能完全不随机,可是是三个伪随机就十分接近随机了,每增加一个自由度,随机性增加的可不是一。"

此外,如果前一步,服务器要求客户端证书,客户端会在这一步发送证书及相关信息。

4.4 服务器的最后回应

服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的"会话密钥"。然后,向客户端最后发送下面信息。

(1)编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。

(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。

至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的HTTP协议,只不过用"会话密钥"加密内容。

五、参考链接

(完)

留言(147条)

好文。全面而易懂

坏蛋总不放过任何一丝做恶的机会,太多不要脸的运营商在链路劫持强插广告,直接修改用户的HTTP数据包,再就是NSA之流肆无忌惮的窃听

发现一个HTTPS有意思的地方,只要53端口数据被转发,不管域名对应的DNS解析IP是不是域名真实IP,只要最后都是53端口转发到真实IP之上,就不会弹HTTPS证书错误

比如 https://a.com 对应 ipa 不通

那么劫持DNS解析 https://a.com 到 ipb上 (ipb是通的)

只要在ipb上设置 ipb:53转发到 ipa:53

这样访问 https://a.com 就通了,而且没证书错误

启用Server Name Indication扩展后,第一步客户端发送请求,同时明文发送域名到server?

您好,我有一个疑问。
第一步是用服务器公钥加密的。而服务器公钥包含在证书中。但是如果入侵者获取到服务器证书,并用于解密之后的key,再用key来解密通信内容,这样怎么防范?

阮老师写的文章都是鞭辟入里啊,一般是站在那些角度去阐述一个观点或者描述一个事物呢?

Smart !智慧的发明!!

引用古明地恋的发言:

您好,我有一个疑问。
第一步是用服务器公钥加密的。而服务器公钥包含在证书中。但是如果入侵者获取到服务器证书,并用于解密之后的key,再用key来解密通信内容,这样怎么防范?

服务器证书只包含公钥,无法解密key。解密需要用私钥。

私钥一般放在server端。
如果能拿到私钥,基本上可以肯定被入侵了。
这时候获取私钥都不算个事了你说是不。

阮兄的文章非常值得一读,简洁又能把事情的来龙去脉讲的清清楚楚的,不简单。

引用Niclau的发言:

启用Server Name Indication扩展后,第一步客户端发送请求,同时明文发送域名到server?

对的, 确实是明文, 否则服务端无法确定向客户端推送哪张证书
而且, 也没法使用密文, 因为密钥尚未协商好
再者, 使用密文也没有意义, 篡改域名只能影响服务端返回的证书, 而所有的证书本来就都是公开的

@李狗蛋:

不太能理解你想表达的意思
不过, SSL/TLS协议并不关心双方的IP, DNS劫持是无法攻击SSL/TLS的
所以, 我觉得你的这个测试结果另有原因

其实,看阮兄的博客主要目的就是学习阮兄的总结与再表达能力,对于这篇来说,真的不懂,但是感觉看得很舒服,层次清晰,用语准确,赞!

文章写的浅显易懂,看了很有收获。不过,需要说明的是,使用PKI机制进行密钥交换只是TLS规范的一种实现形式,还有其他的形式可以用于密钥交换,比如SRP和PSK协议。

引用CJey的发言:

对的, 确实是明文, 否则服务端无法确定向客户端推送哪张证书
而且, 也没法使用密文, 因为密钥尚未协商好
再者, 使用密文也没有意义, 篡改域名只能影响服务端返回的证书, 而所有的证书本来就都是公开的

如果有中间人通过判断域名,来决定是否阻断连接怎么办呢

请考虑介绍下常用于SPDY的HTTPS falst start握手,它比标准的握手少一个“server finished"的步骤

好文章。

感谢!
没有微信公众号?

文中的 SeverHello 是不是应该是 ServerHello?

只有第一次的握手过程是明文的,之后的自动重协商通信是用上一次的密钥来加密的。

您好,我有一个疑问。

第一步,服务器端的响应内容包含证明服务器自身的证书,客户端得到证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?

查了好多文章,终于在这里把整个握手流程以及中间一些疑问搞清楚了,现在再去看那些代码,清楚了很多,感谢博主。

引用yd的发言:

您好,我有一个疑问。

第一步,服务器端的响应内容包含证明服务器自身的证书,客户端得到证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?

证书里是服务器的公钥和身份信息,这些是经过证书颁发机构即CA公证过的,客户端拿到后去CA验证,看这个公钥是不是服务器的,若不是说明证书是伪造的,当然如果证书经过数字签名证书就不可能被伪造了

来支持一下阮老师写的东西

看来说清楚这个东西,还是太过难了一点,这个文章也太过概述了,感觉很多关键点没有说清楚啊,看得我好累。不过还是感谢阮老师,已经让我省了不少时间了。

引用yd的发言:

您好,我有一个疑问。

第一步,服务器端的响应内容包含证明服务器自身的证书,客户端得到证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?

这里还有一个信任链的问题,一般都是有一家第三方的根证书签名机构办法证书,我们相信这个第三方机构,从而相信它颁发的证书,当然也有根证书授权下一层的证书颁发机构,然后由这个机构给网站服务器做验证的情况

我感觉4。3部分 的(1)步和(2)(3)两步中间还有些步骤可以注明清楚点。
事实上服务端和客户端在拥有pms后计算出来的密钥并不是会话密钥,而是一个中间密钥,最终的会话密钥是通过这个中间密钥计算出来的。至于这个计算方法,我也不清楚是什么?有知道的朋友望告知。

还有这一部分最后一句:
此外,如果前一步,服务器要求客户端证书,客户端会在这一步发送证书及相关信息。

我感觉客户端发送证书应该是在这一步骤之前。

通俗易懂,太赞了

讲得非常好!学习了...

需要注意的是,"握手阶段"的所有通信都是明文的。
这句话不对吧?pre master key应该是客户端用服务端公钥加密之后再发送给服务端的,这不能算明文吧?

提问一下,
握手的第3步,pre-master key 如果被拦截,是否可以被伪造或篡改?
因为只使用服务器的公钥加密。

关于 至于为什么一定要用三个随机数,来生成"会话密钥" 这个地方,其实还有一点:pre-master key 用服务器的公钥加密,可以防止第三方冒充服务器,因为任何人都可以获取已经公开的服务器公钥与客户段进行通信。想要获得 pre-master key 明文只有利用服务器的私钥进行解密,所以这里进行了服务器的身份验证,也防止了中间人攻击。

另外,当服务器需要验证客户端时,客户端在发送 pre-master key 之前需要发送客户端公钥到服务器,可以选择对 pre-master key 用客户端的私钥签名然后再用服务器公钥加密,则服务器收到 pre-master key 同时对客户端进行了身份验证。

好文章,通俗易懂的介绍SSL,本文将引用的中国证书CHINASSL博客,谢谢

有个问题,握手时是明文通信,那就会被截获到公钥、三个随机数,这样对话密钥不久可以知道了?那后面的对话加密不就会被解密?

如果有个proxy, 先和客户端建立连接(不下发服务器证书,也不要求客户端上报证书),再和SP建立连接。 对服务器下发的证书默认接受。 相当于 CLIENT-PROXY之间是互相不认证证书,PROXY-WEB SERVER之间是验证服务器证书。 是否有安全隐患?

@goodboy1983: 应该不会有安全隐患吧,pre-master key是用服务器端公钥加密的,client-proxy无法解密,不能获取到pre-master key。在安全要求更高的金融领域,服务器端会认证客户端,比如银行会给客户发u盾。这就更安全了。

服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的"会话密钥"。 这个会话密钥怎么计算的呢?

阮一峰同志是一座宝库
4年之前就开始看您的博客,但是基本只看人文社科类和科普性质的,视野很开阔,写的很棒。
最近随着自己的兴趣变化,开始学习编程,没想到搜“RESTful架构”,第一篇文章就是您的,写的太好了,明白如水!
高手有很多,但是乐意长时间坚持分享,而且做科普做的这么好的高手太少了!
感谢!

引用CJey的发言:

对的, 确实是明文, 否则服务端无法确定向客户端推送哪张证书
而且, 也没法使用密文, 因为密钥尚未协商好
再者, 使用密文也没有意义, 篡改域名只能影响服务端返回的证书, 而所有的证书本来就都是公开的

将域名加密还是有意义的,比如GFW 或者 Hacker 等想知道你请求了哪些网站,酱紫

关于TLS/SSL 四次握手的一个疑问。
在协商会话密钥的阶段:
客户端的请求是用服务端的公钥加密的,第三方截获后是没有办法解密的;
服务端返回的请求是用服务端的私钥加密的,第三方截获后可以通过公钥解密的。

这引发我的疑问,在最后第4步,服务端返回的会话密钥(Session Key) 是用服务端的私钥加密的,那第三方不就可以解密出这个Session Key 吗?有了这个Session Key 后不就可以破译出通信数据吗?

引用hilojack的发言:

关于TLS/SSL 四次握手的一个疑问。
在协商会话密钥的阶段:
客户端的请求是用服务端的公钥加密的,第三方截获后是没有办法解密的;
服务端返回的请求是用服务端的私钥加密的,第三方截获后可以通过公钥解密的。

这引发我的疑问,在最后第4步,服务端返回的会话密钥(Session Key) 是用服务端的私钥加密的,那第三方不就可以解密出这个Session Key 吗?有了这个Session Key 后不就可以破译出通信数据吗?

第四步服务器不会返回会话密钥!!!会话密钥是客户端和服务端各自通过三个随机数和一个密钥导出器最终导出的

文中说“三个随机数通过一个密钥导出器最终导出一个对称密钥”,密钥导出器是什么?服务的公钥吗?

引用lp的发言:

有个问题,握手时是明文通信,那就会被截获到公钥、三个随机数,这样对话密钥不久可以知道了?那后面的对话加密不就会被解密?

第三个随机数是公钥加密的,只有服务的私钥才能解密。

请教一个问题:
如果网络中有一台设备,这个设备具有了https服务器的证书和私钥,是不是意味着:这个设备能够通过服务器的私钥来计算出第三个随机数,然后根据相关算法来计算出服务器和client之间的通信秘钥?
这样就代表了服务器和client之间的通信内容不在是私密性的了?

引用shun.aaron的发言:

请教一个问题:
如果网络中有一台设备,这个设备具有了https服务器的证书和私钥,是不是意味着:这个设备能够通过服务器的私钥来计算出第三个随机数,然后根据相关算法来计算出服务器和client之间的通信秘钥?
这样就代表了服务器和client之间的通信内容不在是私密性的了?

HTTPS服务器的私钥你都有了还想怎样。。。-_-

如果key exchange算法是ECDH,那么就不是索要公钥了,也就是说,不采用非对称加密来产生master-key

请教一下,为什么在session ticket生效的情况下,依然需要交互随机数? session ticket生效有,已经不用重新生成对称密钥了。

阮老师这篇博客说的不好。前后都有矛盾,有些地方不明确,容易误导。

如果认定握手是完全明文,按阮老师的说法,那中间人直接就可以攻击了,因为他知道所有信息。关键在于随机数的传递这里,会不会用Server的公钥加密。这一点没有强调的话,这篇博客有什么意义,通信安全性的关键在这里。正是用了中间人解不出的信息(需要私钥),所以安全才得到的保障,而并不是因为你用了多少个随机数。不加密的话,你来回发一万次随机数中间人也能够看到。后面的对称密钥通信过程就是扯淡了。

个人觉得随机数应该最后是这样的结果:3个随机数以某种组合并结合加密算法,客户端和服务器端各自都算出来了动态的私钥和公钥了,这个时候的通信不再是以服务器最早的公钥和私钥为准,而是在两方都知道公钥私钥的情况下通信,服务器端以私钥加密,客户端以公钥解密,客户端以公钥加密,服务器端以私钥解密,至于服务器最原始的公钥和私钥,就是为了保证随机数的安全,不知道这样对不对

引用大山的发言:

个人觉得随机数应该最后是这样的结果:3个随机数以某种组合并结合加密算法,客户端和服务器端各自都算出来了动态的私钥和公钥了,这个时候的通信不再是以服务器最早的公钥和私钥为准,而是在两方都知道公钥私钥的情况下通信,服务器端以私钥加密,客户端以公钥解密,客户端以公钥加密,服务器端以私钥解密,至于服务器最原始的公钥和私钥,就是为了保证随机数的安全,不知道这样对不对

不对,握手完成后就是对称加密,怎么还会有公钥私钥这种非对称加密方法

大致是看明白了,谁能提供一个pcap包 详细分析下就更加好了。我自己抓了包,都是加密的,看不明白呢

一个证书可不可以供两个(不同IP)服务器使用? 文中讲的 "真实IP" 的校验依据是否为发包的IP?

求助各位大神,现在已知Server端私钥,用wireshark截取握手阶段client和server的random和加密了的pre_master_secret,如何具体解析出https中,http报文内容,最好能有C语言实现的函数和代码,多谢。

引用onion的发言:

其实,看阮兄的博客主要目的就是学习阮兄的总结与再表达能力,对于这篇来说,真的不懂,但是感觉看得很舒服,层次清晰,用语准确,赞!

赞,突然发现,写技术博客,排版很重要!

引用masstensor的发言:

文章写的浅显易懂,看了很有收获。不过,需要说明的是,使用PKI机制进行密钥交换只是TLS规范的一种实现形式,还有其他的形式可以用于密钥交换,比如SRP和PSK协议。

是这样的,我也想这么一问。

引用兴杰的发言:

提问一下,
握手的第3步,pre-master key 如果被拦截,是否可以被伪造或篡改?
因为只使用服务器的公钥加密。

后面的步骤需要解密这个key,如果被篡改,将不能解密,之后的步骤都不能继续下去了,然后就没有然后了。

引用lp的发言:

有个问题,握手时是明文通信,那就会被截获到公钥、三个随机数,这样对话密钥不久可以知道了?那后面的对话加密不就会被解密?

公钥是公开的,本身就无所谓截获不截获,但是公钥加密的需要配套私钥来解密的。而私钥确是保密的。 第一个随机数是通过公钥加密传输,需要私钥才能解密的,第二个客户端产生的随机数的确是明文传递的,第三个随机数是在服务端本身产生的,并不传输。 有两个随机数参数你无法截获,你怎么计算得到正确的对话密钥?

引用hilojack的发言:

将域名加密还是有意义的,比如GFW 或者 Hacker 等想知道你请求了哪些网站,酱紫

个人觉得这个 不在ssl协议要解决的范畴之内。

引用Pingia的发言:


公钥是公开的,本身就无所谓截获不截获,但是公钥加密的需要配套私钥来解密的。而私钥确是保密的。
第一个随机数是通过公钥加密传输,需要私钥才能解密的,第二个客户端产生的随机数的确是明文传递的,第三个随机数是在服务端本身产生的,并不传输。
有两个随机数参数你无法截获,你怎么计算得到正确的对话密钥?


说错了,第三个也传输给客户端的,只是第一个随机数需要私钥解开,这可以进行防范。

引用zhaodawei的发言:

文中说“三个随机数通过一个密钥导出器最终导出一个对称密钥”,密钥导出器是什么?服务的公钥吗?

我也想问这个,说也没说清楚。

引用YorkYang的发言:

一个证书可不可以供两个(不同IP)服务器使用? 文中讲的 "真实IP" 的校验依据是否为发包的IP?

可以的,证书只和域名绑定。只要你把这些Ip的服务器绑定到一个域名下就可以。但配置的时候你必须使用同一个服务端根证书。

引用古明地恋的发言:

您好,我有一个疑问。
第一步是用服务器公钥加密的。而服务器公钥包含在证书中。但是如果入侵者获取到服务器证书,并用于解密之后的key,再用key来解密通信内容,这样怎么防范?

解密只能使用服务器的私钥解密,而证书中只包含服务器的公钥,所以不会被破解

我有个疑问,比如我控制着代理服务器
我知道 协商协议版本都是1.0 我也知道三次随机数第一次客户给服务器的 10,第二次服务器给客户端的 1050 第三次客户端给服务器的119,然后还知道他们协商的加密算法 RSA. 那我就可以自己按照加密算法RSA,用我看到的三个随机数生成一个秘钥了,这样我不是还是可以解开你的通信内容吗?

"握手阶段"的所有通信都是明文的。
对于这个,不知我的理解可否正确?
1.客户端->服务器:随机数,支持的加密方法
2.服务器->客户端:随机数,确定加密方法
3.客户端->服务器:随机数(公钥加密)

这样,第一第二的随机数虽然可能被其他人截取,但是由于第三个随机数是通过公钥加密的,所以,只有对应的私钥可以解密,是安全的。

所以通过这三个随机数以及第二步确定的对称加密的方法,客户端以及服务端各自生成对话密钥。之后就通过这个对话密钥来进行通信

@pengfei:

第三个随机数是通过公钥加密的。

除了“如何保证公钥不被篡改?”和“公钥加密计算量太大,如何减少耗用的时间?”这两个问题,还有一个问题:如果都采用公钥加密,那么客户端势必也要知道私钥,才能对服务器端返回的信息。

服务器的证书如果被中途运营商替换了,怎么办?

引用gitjoke的发言:

服务器的证书如果被中途运营商替换了,怎么办?

电脑中需要一张可信任的第三方机构的根证书,
来验证服务器发来的证书。
当然,服务器自己得去第三方机构验证,把验证信息放入自己的证书中。

看不大懂,想哪个大神给我讲解下,跪求!

会话密钥是每次会话随机产生的吗,怎么存储的

客户端验证证书这个环节,没有理解是怎么保证安全的。
如果有个中间人,把自己的证书代替了服务器的证书,返回给客户端。
然后在客户端去认证证书的时候,拦截并直接返回证书OK,那么客户端就被攻击了啊。

客户端验证证书的通信,本质上又需要一个加密通信,这就递归了。

总体上看明白了,不过有一个疑问请教大家。

使用三个随机数是为了避免客户端生成的一致的伪随机数。那么问题就出现了,假设这个客户端生成的随机数都是一个,那么第一次和第三次的客户端向服务端发送的随机数就能被掌握,而服务端向客户端发送的随机数是明文传输,那么三个随机数不久都被掌握了么?
避免这个情况实际上客户端不也可以给服务端一个公钥用于加密,然后客户端使用自己的私钥解密,这样就能保证第二个随机数的安全么?可是事实上并没有这么做,这个是为什么呢?

引用nuooo的发言:

请考虑介绍下常用于SPDY的HTTPS falst start握手,它比标准的握手少一个“server finished"的步骤

经过debug测试,发现SPDY+HTTPS false start握手确实比标准的SSL/TLS少一次握手,最后一次服务器到客户端的握手是没有的,第一次Finished后就可以传输数据了。

看了阮老师的博文和底下的评论,基本八九不离十了,3q all!

http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
这篇文章中有解释,第三个随机数客户端是用公钥加密的然后在发送给服务端,服务端用私钥解密获取随机数。客户端和服务端用约定加密方法使用三个随机数生成对话密钥

引用pengfei的发言:

我有个疑问,比如我控制着代理服务器
我知道协商协议版本都是1.0 我也知道三次随机数第一次客户给服务器的 10,第二次服务器给客户端的 1050 第三次客户端给服务器的119,然后还知道他们协商的加密算法 RSA.那我就可以自己按照加密算法RSA,用我看到的三个随机数生成一个秘钥了,这样我不是还是可以解开你的通信内容吗?


如果真的知道三个随机值,的确是这样.但是作为代理服务器,你只能看到明文的第一,第二个随机数,第三个随机数是用服务器的公钥加密的.只有服务器用私钥解密后才能看到,你一个代理服务器是看不到的.

引用cmuscler的发言:

总体上看明白了,不过有一个疑问请教大家。

使用三个随机数是为了避免客户端生成的一致的伪随机数。那么问题就出现了,假设这个客户端生成的随机数都是一个,那么第一次和第三次的客户端向服务端发送的随机数就能被掌握,而服务端向客户端发送的随机数是明文传输,那么三个随机数不久都被掌握了么?
避免这个情况实际上客户端不也可以给服务端一个公钥用于加密,然后客户端使用自己的私钥解密,这样就能保证第二个随机数的安全么?可是事实上并没有这么做,这个是为什么呢?

没必要.
因为即使第一个和第三个都是一样的,别人也不知道啊.因为第三个值是加密后的.明文来看,肯定是不一样的.

引用cmuscler的发言:

总体上看明白了,不过有一个疑问请教大家。

使用三个随机数是为了避免客户端生成的一致的伪随机数。那么问题就出现了,假设这个客户端生成的随机数都是一个,那么第一次和第三次的客户端向服务端发送的随机数就能被掌握,而服务端向客户端发送的随机数是明文传输,那么三个随机数不久都被掌握了么?
避免这个情况实际上客户端不也可以给服务端一个公钥用于加密,然后客户端使用自己的私钥解密,这样就能保证第二个随机数的安全么?可是事实上并没有这么做,这个是为什么呢?

个人看法不一定对哈:
1,姑且不论重复的概率,第一个数和第三个数一不一样没有太大的影响,因为撞库的人,不会采用我门直白的人工方式去撞,从算法的角度来说能不能撞出来的概率是差不多的。

2,客户端的私匙太容易获取了,所以没有什么大的影响。。

引用hyh的发言:

文中的 SeverHello 是不是应该是 ServerHello?

谷歌了一下,应该是ServerHello。不过搜SeverHello搜到好多博客,极有可能就是转载这里的……

我有个疑问 :
第一次握手和第二次握手是明文的 , 如果我把第一次传的随机数,第二次传的随机数、证书等都截获了 。 这时我只需要模拟后面的操作就可以获取相关的信息不是么?

最后协商出来一个对称加密的密钥S,双方都用这个密钥S通信,既然是对称加密,那些坏人要是直接破解这个密钥S怎么办呢?

引用雪山飞狐的发言:

最后协商出来一个对称加密的密钥S,双方都用这个密钥S通信,既然是对称加密,那些坏人要是直接破解这个密钥S怎么办呢?

这个秘钥虽然是对此加密,但是临时的,每次会话都重新生成。不容易破解,等你破解出来,人家早结束通信了。而且一般的破解方法都要基于之前大量通信内容的统计规律,每次临时生成,就没有大量数据给你统计了。

阮老师,我在百度上搜索到了您这篇文章,受益匪浅,现在我手头遇到了点问题。我们有台邮件系统开启了TLS,最近发现来自某个域的邮件不能接收,而其他域发来的邮件是可以正常接收的,于是我进行抓包查看,信息如下:
Secure Sockets Layer
TLSv1 Record Layer: Alert (Level: Fatal, Description: Handshake Failure)
Content Type: Alert (21)
Version: TLS 1.0 (0x0301)
Length: 2
Alert Message
Level: Fatal (2)
Description: Handshake Failure (40)
这是第三次握手的报错,clienthello和serverhello都没有报错,却卡在了这里出现了致命错误,我排查了很长时间一直没有找到问题出在哪里,能不能帮忙判断一下,出现这种故障,一般是哪里出了问题?谢谢。

大神,Client Hello 报文内容的第2条 “一个服务器生成的随机数,稍后用于生成"对话密钥" ”是不是错了?client hello报文中应该不包含这一条吧。此时仍是明文传输,而整个ssl通信过程就是为了加密传输这个随机数,不可能在这里暴露吧。

假如握手的四次都是明文的 那么这个普通通信的对称密钥 是在client 和 server 各自根据这三个随机数生成 从来都没有在网络中传递过的 ?

我发现楼上很多人搞不清楚RSA的加密和解密方式,
首先:RSA使用公钥加密之后,只能使用私钥解密。
其次:第三个随机数是使用公钥加密的,此时发送给服务器,服务器必须使用私钥才能解。上文有些人说已经得到服务器私钥,那你都知道私钥了,肯定是知道第三个随机数是什么。
然后使用这3个随机数导出一个密钥,然后使用约定的加密方法在此之后加密所有传输的内容。

文中并没有讲约定的什么加密方法,其实是双方约定DES/AES/3DES之类的,早期用过RC4之类的,这算法安全性很低。
常用的移动端、PC比较流行的加密方法是:EECDH+CHACHA20 EECDH+CHACHA20-draft EECDH+AES128 RSA+AES128 EECDH+AES256 RSA+AES256 EECDH+3DES RSA+3DES

关于证书:
证书必须是CA颁发的,当然你也可以自己建立根证书,然后颁发证书。但是这个根证书没有浏览器信任,除非你导入到自己电脑的「受信任的根证书」,比如12306就这么弄的。浏览器会去检查你的证书以及根证书是否信任

仔细看了每一位的留言,发现很多人对三个随机数的作用有疑问,其实是这样的:
1. 第一个随机数是客户端以明文的方式发到服务器的,而且是个明文的伪随机数
2. 第二个随机数是服务端以明文的方式发到客户端的,也是一个明文的伪随机数
3. 第三个随机数是客户端以服务器的公钥加密后发到服务器的,是一个加密的伪随机数

先说结论:如果能保证第三个随机数是真正的随机数,而非伪随机数,那么第1和第2个随机数是没任何必要的。握手的过程就是因为考虑到第3个是伪随机数,才引入前2个伪随机数,由3个伪随机数构造一个相对更随机的伪随机数,再基于这个最终的伪随机数计算出会话密钥(Session Key)。

所以一个中间攻击人即使截获了第1和第2个伪随机数,同时也知道第3个是伪随机数(单纯这么一个伪随机数,下大力气是有可能碰撞到的),在三个伪随机数运算后再做加密的情况下,他碰撞到最终结果的难度也是成倍或几十、几百倍的上升。

引用lp的发言:

有个问题,握手时是明文通信,那就会被截获到公钥、三个随机数,这样对话密钥不久可以知道了?那后面的对话加密不就会被解密?

最后一个随机数 pre-master-key 是公钥加密过的,只有私钥能够解密。

引用lp的发言:

有个问题,握手时是明文通信,那就会被截获到公钥、三个随机数,这样对话密钥不久可以知道了?那后面的对话加密不就会被解密?

Pre-master Key是经过公钥加密传输的,我想这也是为什么需要第三个随机数的原因之一,因为前两个随机数都是明文传输的。

引用goodboy1983的发言:

如果有个proxy, 先和客户端建立连接(不下发服务器证书,也不要求客户端上报证书),再和SP建立连接。 对服务器下发的证书默认接受。 相当于 CLIENT-PROXY之间是互相不认证证书,PROXY-WEB SERVER之间是验证服务器证书。 是否有安全隐患?

客户端请求建立ssl连接,proxy不下发证书给客户端,这个连接也会被关闭。

引用大山的发言:

个人觉得随机数应该最后是这样的结果:3个随机数以某种组合并结合加密算法,客户端和服务器端各自都算出来了动态的私钥和公钥了,这个时候的通信不再是以服务器最早的公钥和私钥为准,而是在两方都知道公钥私钥的情况下通信,服务器端以私钥加密,客户端以公钥解密,客户端以公钥加密,服务器端以私钥解密,至于服务器最原始的公钥和私钥,就是为了保证随机数的安全,不知道这样对不对

不对,最后的通信是使用对称加密的,两边的密钥一样。

引用mll的发言:

客户端验证证书这个环节,没有理解是怎么保证安全的。
如果有个中间人,把自己的证书代替了服务器的证书,返回给客户端。
然后在客户端去认证证书的时候,拦截并直接返回证书OK,那么客户端就被攻击了啊。

客户端验证证书的通信,本质上又需要一个加密通信,这就递归了。

“然后在客户端去认证证书的时候,拦截。。。”,这句话不对的,客户端验证证书不需要发起网络请求,没有中间人拦截的机会。证书的验证是由事先已经安装好的根证书来完成,这个根证书可以验证该颁发机构颁发的证书是否被篡改过。其中的过程猜想如下:根证书中包含颁发机构的公钥,证书在颁发时会把证书内容做hash,然后使用颁发机构的私钥进行加密(也就是颁发机构对证书签名的过程)。如果中间人篡改了证书,使用了自己的私钥做了签名,那么根证书自然能够发现证书是伪造的(或者说浏览器根本无法识别该证书的合法性)。
至于根证书的安装过程是否有可能被中间人劫持,这是另外一个话题,但肯定不存在你所说的“递归”的可能。

这里感觉有点问题,需要注意的是,"握手阶段"的所有通信都是明文的。--> 这里说所有通信都是明文的。但是第三个随机数却用服务器公钥加密。--> 这里感觉有点矛盾呀。。

写的太棒了!

第三步,客户端回应应该是加密传输的,使用的是服务器公钥加密,而不是明文传输的。

如果不是的,那就防止不了中间人攻击。

pmk产生session key。前两个随机数是明文发送的。只有第三个是加密传输的。那是不是随机性其实只是一个随机数的自由度(假如前两个被截获)。

引用islishude的发言:

第三步,客户端回应应该是加密传输的,使用的是服务器公钥加密,而不是明文传输的。

如果不是的,那就防止不了中间人攻击。

作者的这句描述有问题: "握手阶段"涉及四次通信,我们一个个来看。需要注意的是,"握手阶段"的所有通信都是明文的。
pre-master key 必须用证书的pubKey加密

有意思,文章里面说了ssl/tls主要是为了解决三种问题,
1) 窃听风险(eavesdropping):第三方可以获知通信内容。
2) 篡改风险(tampering):第三方可以修改通信内容。
3) 冒充风险(pretending):第三方可以冒充他人身份参与通信。
其中 1) 通过数据加密来解决,3) 通过数字证书来解决,但是针对 2) 却没有文字描述。
文中末尾说道,握手结束后,便是采用加密过的HTTP来进行传输。那么如果在加密协议确定后,有人故意在
传输的数据结尾添加大量无意义数据(可能被解成乱码),这又如何预防?

@卫思伍:

我发现我的想法错了,篡改是通过数字签名来检测的。

有人知道客户端ChangeCipherSpec后面的handshake message是怎么加密的吗?服务器端如何去认证啊?用TLS_RSA_WITH_3DES_EDE_CBC_SHA 收到的加密handshake message是40 bytes的,用私钥解密出错,hash 值也不是40 bytes的。

感谢大神!

第一第二的随机数和加密算法的确定虽然是明文,但是第三个随机数是不知道的,所以就算密码爆破也比单一密码要困难,在有限的通信过程中,是不会被破解的,所以第一第二的随机数为解密增加了难度,个人理解

第一个和第二个的随机数还有加密算法是明文的,但是第三个随机数是被服务器公钥加密的,只有服务器的私钥可以解密,也就是说第三个随机数是不知道的。

但那并不意味着前两次的随机数和加密算法是没用的,如果攻击者知道第一个和第二个随机数以及加密算法,想猜第三个随机数,此时每次计算的成本比猜仅有一个随机数(第三个随机数)的加密成本要高很多,所以在客户机和服务器通信的有限的时间内,是不可能破解的。个人的理解

但是我好奇的是,为什么加密算法不和第三个随机数一起确定,然后共同用服务器的公钥加密,那样不是可以更安全吗

@Pingia:

你这个一、二、三的顺序不对。而且服务端产生的随机数是会传输给客户端的。其实关键就是 premaster secret 这个随机数,是无法被破解的。

文章提供了非常好的切入点,感谢作者的无私分享

第一次和第二次的随机数是公开的,第三次的随机数是使用服务器公钥加密的.第三次的随机数校验是使用非对称加密,之后根据这三个随机数生成一个对称密码,作为之后的通讯秘钥.
校验服务器证书,是因为我们电脑安装操作系统或者浏览器时会安装根证书,根证书持有各级颁发机构的公钥.
证书包含两个内容:服务方的信息以及签名,两者再加上公钥可以确定是否伪造.
因为是短时通信,所以当破解出来时已经通信结束.
感谢阮老师,感谢评论的各位.
请各位兄台剖析.

会话建立之后,后续的发送的内容都是通过这个“会话秘钥”加密吗?每次发送消息的会话秘钥都是一样吗?

很好的文章,通俗易懂。

但是看了下评论,发现好多人误解三个随机数的用法。建议文章如果把第三个随机数的说法,改成“Pre-Master Secret” key(或者seed),然后就应该不会被误解了,比如因为是Key,所以至少不会认为它是明文传输的。

只不过这个key是随机数而已,就像IV,SALT一样,有时也是随机数,但是最好用其他名字来代替。

对于这句话:客户端收到服务器回应以后,首先验证服务器证书。如果证书不是可信机构颁布...

怎么判断是不是可信机构颁布的证书呢?

有一个疑问,最后直接在客户端生成对称会话密钥,然后通过服务器公钥加密传给服务器不就可以了。为什么还要根据随机数分别在客户端和服务器产生秘钥?谢谢!

引用member的发言:

我发现楼上很多人搞不清楚RSA的加密和解密方式,
首先:RSA使用公钥加密之后,只能使用私钥解密。
其次:第三个随机数是使用公钥加密的,此时发送给服务器,服务器必须使用私钥才能解。上文有些人说已经得到服务器私钥,那你都知道私钥了,肯定是知道第三个随机数是什么。
然后使用这3个随机数导出一个密钥,然后使用约定的加密方法在此之后加密所有传输的内容。

文中并没有讲约定的什么加密方法,其实是双方约定DES/AES/3DES之类的,早期用过RC4之类的,这算法安全性很低。
常用的移动端、PC比较流行的加密方法是:EECDH+CHACHA20 EECDH+CHACHA20-draft EECDH+AES128 RSA+AES128 EECDH+AES256 RSA+AES256 EECDH+3DES RSA+3DES

关于证书:
证书必须是CA颁发的,当然你也可以自己建立根证书,然后颁发证书。但是这个根证书没有浏览器信任,除非你导入到自己电脑的「受信任的根证书」,比如12306就这么弄的。浏览器会去检查你的证书以及根证书是否信任

有一个疑问,最后直接在客户端生成对称会话密钥,然后通过服务器公钥加密传给服务器不就可以了。为什么还要根据随机数分别在客户端和服务器产生秘钥?谢谢!

引用zz的发言:

有一个疑问,最后直接在客户端生成对称会话密钥,然后通过服务器公钥加密传给服务器不就可以了。为什么还要根据随机数分别在客户端和服务器产生秘钥?谢谢!


"不管是客户端还是服务器,都需要随机数,这样生成的密钥才不会每次都一样。由于SSL协议中证书是静态的,因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性。

对于RSA密钥交换算法来说,pre-master-key本身就是一个随机数,再加上hello消息中的随机,三个随机数通过一个密钥导出器最终导出一个对称密钥。

pre master的存在在于SSL协议不信任每个主机都能产生完全随机的随机数,如果随机数不随机,那么pre master secret就有可能被猜出来,那么仅适用pre master secret作为密钥就不合适了,因此必须引入新的随机因素,那么客户端和服务器加上pre master secret三个随机数一同生成的密钥就不容易被猜出了,一个伪随机可能完全不随机,可是是三个伪随机就十分接近随机了,每增加一个自由度,随机性增加的可不是一。"

在4.3 客户端回应中,验证服务器证书时如果证书出现问题,用户选择还要继续通信,按照SSL/TLS协议接下来应该是什么流程?

明知道SSL/TLS有这么多好处,为啥这个网站还不时用HTTPS呢?手动狗头

@juanyi:

加密算法是由服务端选择然后下发给客户端的,这时候密钥还没有协商好,没法加密

引用两袖轻疯的发言:

在4.3 客户端回应中,验证服务器证书时如果证书出现问题,用户选择还要继续通信,按照SSL/TLS协议接下来应该是什么流程?


就当证书认证成功处理呀

如何确保数字证书是真的安全可信?

4.3 客户端回应
(3) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。

有几个问题想不明白,想请教下各位大神。
1、为什么在"握手阶段"的客户端回应中要传给服务端前面发送的所有内容的hash值,来供服务器校验?
2、是什么值的hash,是clienthello发送内容的hash吗?
3、校验是为了保证什么吗?

引用lisam的发言:

如何确保数字证书是真的安全可信?

首先,证书签证机关CA是默认可以信任的,否则信任就无从谈起。那么CA颁发的证书也是可信的。

1、如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后(一般是用信息摘要算法来生成不可逆的签名,如md5),便形成证书发给申请者。

2、如果一个用户想鉴别另一个证书的真伪,他就用对应 CA 的公钥对那个证书上的签字进行验证(CA 也拥有一个证书(内含公钥和私钥),CA的公钥就是用来验证该证书是否是该CA签名的),一旦验证通过,该证书就被认为是有效的。证书实际是由证书签证机关(CA)签发的对用户的公钥的认证,即主要是保证公钥不被修改过了。

双向认证中,能给 client 端证书带上用户的唯一标识,只要通过该证书请求 server 端,就认为是该用户的合法操作,server 端可以通过 client 请求体解析出证书中的该标识吗?

如果破解了这个app,拿到客户端的证书和密钥,伪装成客户端,是不是就可以获取到服务端的数据看到明文了?这个问题很疑惑,因为客户端证书确实是放在本地的。

引用JackWei的发言:

第一次和第二次的随机数是公开的,第三次的随机数是使用服务器公钥加密的.第三次的随机数校验是使用非对称加密,之后根据这三个随机数生成一个对称密码,作为之后的通讯秘钥.
校验服务器证书,是因为我们电脑安装操作系统或者浏览器时会安装根证书,根证书持有各级颁发机构的公钥.
证书包含两个内容:服务方的信息以及签名,两者再加上公钥可以确定是否伪造.
因为是短时通信,所以当破解出来时已经通信结束.
感谢阮老师,感谢评论的各位.
请各位兄台剖析.

不是每次请求都会重新握手并生成新的密钥的,还有绘画保持的特性,通过sessionid和session ticket保持会话的。所以这里又多了一个疑问,按照兄台说的通过技术手段撞出来,我在下次会话保持的时候岂不是就轻而易举的拿到了第三个随机数和加密的密钥。可是为什么要去撞密钥呢?直接破解包拿到本地的cer和p12文件不是更方便,但是拿到之后也只能拿到你当前设备当前账户的数据,其他的设备和数据抓包你也需要去撞,难度无限升级,不知道这么理解对么?

有位兄台评论中说:客户端不相信服务端的随机数真的随机,自己提供一个随机数,对于服务端也是如此,不知道这种描述对么?真的会不相信对方的随机数自己提供一个么?

引用yd的发言:

您好,我有一个疑问。

第一步,服务器端的响应内容包含证明服务器自身的证书,客户端得到证书后进行有效性验证,
请问客户端是如何进行验证的?根据哪些信息验证的?

客户端会在系统中存储着一些知名的证书,我觉得这里的认证是通过和系统上的证书进行比对。

通俗易懂,受益很多,感谢!

引用CodingFire的发言:

如果破解了这个app,拿到客户端的证书和密钥,伪装成客户端,是不是就可以获取到服务端的数据看到明文了?这个问题很疑惑,因为客户端证书确实是放在本地的。

应该不是的。比如银行的U盾,保存客户端证书,如果想要获取目标在银行中的信息,还需要拿到目标的网上银行账号和密码。

如果客户端和服务器在交换公钥的阶段无法加入第三方证书机构咋弄,比如P2P程序,这里是不是就完全有可能发生中间人攻击了,尤其是攻击者掌握了通信协议的时候,我在模仿别人写一个p2p聊天软件的时候发现如果攻击者的程序稍作修改,能够转发信息,他就能同时看到通信两端发来的消息

引用hilojack的发言:

将域名加密还是有意义的,比如GFW 或者 Hacker 等想知道你请求了哪些网站,酱紫

结局就是GFW说,所有带有域名加密扩展的包头都给它丢了。

第三次握手客户端发送请求时,通过公钥加密的随机数传给服务器的时候如果被中间人用自己的随机数(第二部拦截了获取服务器的公钥)加密传给服务器,那样服务生成的是假公钥,之后客户端请求拦截后用中间人的假公钥加密自己的内容发送给服务器,会有这样的攻击吗? 还有文中“编码改变通知”说的是不是被篡改会被通知的意思那应该不会有这个问题,望知道的告诉一声,谢谢了!

好文,受教了!

引用HJJ的发言:

第三次握手客户端发送请求时,通过公钥加密的随机数传给服务器的时候如果被中间人用自己的随机数(第二部拦截了获取服务器的公钥)加密传给服务器,那样服务生成的是假公钥,之后客户端请求拦截后用中间人的假公钥加密自己的内容发送给服务器,会有这样的攻击吗? 还有文中“编码改变通知”说的是不是被篡改会被通知的意思那应该不会有这个问题,望知道的告诉一声,谢谢了!

假设假公钥生成成功,但是之后客户端发送的内容,是用真公钥加密过的,你再用假公钥加密,服务器解密出来的是被真公钥加密的内容,根本无法识别的.

引用袁良锭的发言:

pmk产生session key。前两个随机数是明文发送的。只有第三个是加密传输的。那是不是随机性其实只是一个随机数的自由度(假如前两个被截获)。

私以为三个随机数的目的是为了增加会话秘钥的随机性,不会因为你被截获而影响其随机数的本质.
如果中间人不能截获全部的随机数,中间人也就无法直接获得会话秘钥,还是得使用撞库等手段才能破解.

pre-master-key不是客户端直接发送给服务端的吧?
是通过加密后,服务端解密出来的,你这部分没写清楚

“解决方法:每一次对话(session),客户端和服务器端都生成一个"对话密钥"(session key),用它来加密信息。由于"对话密钥"是对称加密,所以运算速度非常快,而服务器公钥只用于加密"对话密钥"本身,这样就减少了加密运算的消耗时间。”

只加密对话密钥本身这个功能是如何实现的呢?

引用mrag的发言:

“解决方法:每一次对话(session),客户端和服务器端都生成一个"对话密钥"(session key),用它来加密信息。由于"对话密钥"是对称加密,所以运算速度非常快,而服务器公钥只用于加密"对话密钥"本身,这样就减少了加密运算的消耗时间。”

只加密对话密钥本身这个功能是如何实现的呢?

三个随机数用来生成“对话秘钥”,前两个随机数是明文的,核心是第三个随机数,是客户端生成,用公钥加密之后传给服务端的。

https生成“对话秘钥”的过程比较复杂,初期理解的话,可以简单的认为是客户端生成了一个“对称秘钥”,通过公钥加密之后传给服务端,之后通过这个对称秘钥(“对话秘钥”)来进行通信,因为这个对话秘钥只有客户端和服务端知道,因此通信内容是安全的

引用CCD的发言:

这里感觉有点问题,需要注意的是,"握手阶段"的所有通信都是明文的。--> 这里说所有通信都是明文的。但是第三个随机数却用服务器公钥加密。--> 这里感觉有点矛盾呀。。

虽然保证了偷窥者看不到内容,但还是能被拦截篡改的可能性。所以后来又引入了https保证明文传输不被篡改。

引用ZDS的发言:

结局就是GFW说,所有带有域名加密扩展的包头都给它丢了。

神预测……加密的SNI(ESNI)的包被无差别丢弃了,TLS 1.3因为ESNI的原因也被DROP了。

引用hilojack的发言:

将域名加密还是有意义的,比如GFW 或者 Hacker 等想知道你请求了哪些网站,酱紫

GFW的策略是宁可错杀一千,不可放过一个。所以无法细粒度的检测域名的时候,就对IP下手了,同一个IP上的所有网站一起遭殃。

引用CodingFire的发言:

有位兄台评论中说:客户端不相信服务端的随机数真的随机,自己提供一个随机数,对于服务端也是如此,不知道这种描述对么?真的会不相信对方的随机数自己提供一个么?

其实如果第三个随机数不是伪随机而是真随机的话,前两个随机数完全没必要存在了,关键在于第三个随机数是伪随机,是可以撞出来的,这样前两个随机数的作用就出来了,加入前两个之后,撞出来的难度可不是一加二的提升,可能提升成百上千倍,个人理解

引用HJJ的发言:

第三次握手客户端发送请求时,通过公钥加密的随机数传给服务器的时候如果被中间人用自己的随机数(第二部拦截了获取服务器的公钥)加密传给服务器,那样服务生成的是假公钥,之后客户端请求拦截后用中间人的假公钥加密自己的内容发送给服务器,会有这样的攻击吗? 还有文中“编码改变通知”说的是不是被篡改会被通知的意思那应该不会有这个问题,望知道的告诉一声,谢谢了!

我感觉有这种可能呢,这样中间人好像就可以伪装成客户端向服务器发送消息了,而真正的客户端发送的消息服务器是无法解密的。假如服务器是银行,客户端是一个ATM,是不是意味着中间人可以伪装成ATM向服务器发送一条消息:“XXX账户在我这里存入XXX元!!”。当然这只是想像的,现实中应该不会出现,很好奇是怎么解决这个问题的。

我有一个疑问
首先对称加密的密钥是客户端和服务端都是同一个密钥。
既然如此,如果是通过js进行数据加密,那加密算法和密钥不就暴露了?
将密钥保存在客户端都不太合适吧?
我觉得非对称加密的方式就很好,因为服务器端的安全性普遍高于普通用户的客户端。

换种思路:我想知道花费那么大功夫的SSL协议,和使用http协议+某种加密算法,服务端再解密有什么区别。
我看过很多文章都证明了直接使用http+某种加密算法是不安全的。
现在TSL产生的对话密钥和某种加密算法不是一样的吗?
都是用于在客户端加密。

@小幽:

SSL/TLS握手完成后,后续数据通信加密的过程,这个加密是在`SSL/TLS`层完成的,并不是在应用层吧

我有个疑问,如果中间人拦截了服务器下发的证书,然后利用服务器的公钥对自己的对称加密的密码进行加密,再发送给服务端,那么不就可以伪造客户端和服务器进行通信了吗?

感谢阮老师,我有一个疑问,最近在使用抓包工具抓https的请求,抓包工具比如charles需要下载证书,如果没有证书就无法抓https请求,那么请问这个证书的作用是什么?

@jedihy:

在上面说了呀 第三个随机数(pre-master key)通过公钥加密后发给服务端 服务端通过私钥解密获取后生成对应的对话秘钥(session key) 后续通信使用对话秘密(session key)对数据进行加解密

这握手过程说的明文应该是HTTP包整体是明文,其中个别字段是加密的,比如说第三步骤中客户端生成的随机数,如果说是密文,那HTTPS传输的包算是密文,无法抓包分析的;另外通信秘钥需要的三个随机数,第三步客户端的随机数是用公钥加密,中间人是无法解析的,可以认为是安全的,客户端和服务器同时拥有两个公开的和一个不公开的随机数,然后通过一套算法(密钥导出器?)生成一个对称加密秘钥,对称加密秘钥不传输,通过算法生成,保证通信安全

@HJJ:

首先不是公钥吧,通过三个随机数生成的是对称算法的秘钥吧,不应该叫公钥了
假如在第三次在中间拦截了用自己的公钥加密自己的随机数传给服务器,服务器这个时候根据两个公开的随机数和你的随机数生成的秘钥,用这个秘钥对改变信息加密?这样客户端用正确的三个随机数生成的秘钥解密就会有问题
假如没有上面那一步感觉还是不会有问题,根据随机数生成对称加密秘钥的方式是关键
1、中间人不知道根据随机数生成对称算法秘钥的方法也就不能生成秘钥
2、即便像评论里面说的“客户端请求拦截后用中间人的假公钥加密自己的内容发送给服务器”,因为你是拦截客户端加密之后的数据你再次加密服务端只能把你加密的解密,但客户端加密那一层无法解密

报文本上的第三个随机数是一个保障,文章开头就说了,公钥是在数字证书里的,只要数字证书没有问题就OK了,这个可是为什么要成立CA的原因。

引用zhaodawei的发言:


第三个随机数是公钥加密的,只有服务的私钥才能解密。


引用黄小铄的发言:

感谢阮老师,我有一个疑问,最近在使用抓包工具抓https的请求,抓包工具比如charles需要下载证书,如果没有证书就无法抓https请求,那么请问这个证书的作用是什么?

作用是做能解密的中间人。
抓包工具要解密 https 数据需要得到两端的通信密钥,密钥的获取难点在客户端用服务端的公钥加密第三个随机数这一步。我猜测 charles 让你安装一个证书,在 https 握手阶段拦下服务端发来的证书,自己制造一对公私钥,伪造并自签一个证书,然后把证书给浏览器。浏览器验证证书发现没问题,以为获得的公钥来自服务端,用该公钥加密第三个随机数发出去。charles 拦下,用私钥解密得到该随机数,结合前两个窃取到的明文随机数生成了通信密钥,之后把该消息转发给服务端。这样客户端和服务端之间的通信就能被 charles 解密了。

PS1:此方法可行的关键点在信任根证书,否则由于服务端的证书是由 CA 签发的,charles 没有 CA 的私钥自然不能伪造证书
PS2:在用 charles 观察 https 流量时,点一下浏览器的锁查看证书应该能看到证书是一个特殊的自签证书

看文章的讲解,握手阶段,三个随机数中前两个都是明文传输,中间人可以轻松截获,因此第三个加密传输的随机数才是必要的,那我不能理解的是前两个随机数其实都没必要传输,完全使用第三个随机数进行对称加密通信即可。

我要发表看法

«-必填

«-必填,不公开

«-我信任你,不会填写广告链接