阅读 319

https原理初探

前言

       关于总结https原理,我的出发点比较简单,就是一直以来以为自己相对了解http与https的区别,但是真正跟别人聊起来才发现,其实连一知半解都算不上,只知道部署https服务端时需要申请证书,然后证书会被下发到请求443https端口的客户端,之间进行一些公钥私钥加密的一些行为,但是其中有很多步骤是需要我们去理解的,比如对称与非对称加密使用的地方、整个协商的过程、和我们使用Charles抓包https的原理。

       下面就以流程图的方式,在我理解的视角分享一下这些原理。

正文

https概述

       我们使用的普通的http协议,所有数据都是明文传输,任何人都能轻易的从网络传输中获取有效的数据,而https是建立于http的基础上,加上了ssl(Secure Sockets Layer安全套接层)协议的网络传输协议,其中通过数字证书、对称与非对称加密、数据完整性摘要等技术,完成数据传输的保密性、完整性。

客户端与服务端交互流程

       以下来说一下使用https协议的过程中,客户端与服务端交互的大概流程,如下图:基本流程为客户端首次验证服务端证书有效性(1——4步);客户端与服务端协商加密与数据摘要算法(5);交换客户端对称加密密钥流程(6——8);最后确认https能力的逻辑(9——11)。

image

加密及摘要算法使用方式

       其中对称加密、非对称加密、数据摘要算法使用的详细细节,如下图所示:图来源于csdn,感觉很不错来接用一下。

       下图中的接收方就是我们上面说的服务端;接收方公钥:服务端下发的证书;发送方私钥:客户端自己生成的字符串A。 因此可以通过这样的一种加密及数据摘要算法,保证https协议中数据传输的保密性及完整性。

image

Charles抓包https

       上的面我们说了https相对http的优点及交互逻辑,https的特点就是加密传输,但我们就没法获取数据内容了吗,其实不是,下面我们大家几乎都会用到Charles抓包工具也可以完成https协议的数据内容抓取,其大概原理就是在客户端的视角把自己伪造成服务端、在服务端的视角把自己伪造成客户端。

       其中Charles配置抓包https的流程如下:

  1. pc端Charles下载自己对应的证书;
  2. 使用客户端安装pc端上Charles的证书,输入网址下载;
  3. 客户端信任该证书;
  4. pc端Charles设置443https端口代理;
  5. 客户端开始调用进行抓包。

Charles https抓包原理

  1. Charles拦截客户端的请求,伪装成客户端向服务器进行请求;
  2. 服务器向“客户端”(实际上是Charles)返回服务器的CA证书;
  3. Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。(这一步,Charles拿到了服务器证书的公钥)
  4. 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(Charles)
  5. Charles拦截客户端的响应,用自己的私钥解密对称密钥,然后用服务器证书公钥加密,发送给服务器。(这一步,Charles拿到了对称密钥)
  6. 服务器用自己的私钥解密对称密钥,向“客户端”(Charles)发送响应
  7. Charles拦截服务器的响应,替换成自己的证书后发送给客户端

结语

        通过本文,我这边阐述了https的交互原理、加解密细节、使用Charles工具抓包https的简单流程及原理,希望通过这个总结能和大家一起学习,如果有不对的地方还请及时指正。

参考资料

https

blog.csdn.net/xiaoming100…

www.jianshu.com/p/14cd2c9d2…

Charles抓包https

www.jianshu.com/p/ec0a38d9a…