分类
默认

简述 https 的工作流程

说起 https 的工作流程,首先我们来看下 http 的简单工作流程

浏览器<——>web服务器

1、发起 http 请求=>
2、<=返回响应

简单工作流程就这样完成了。https 是在 http 的基础上增加了 ssl 协议,那么 https 的工作流程是怎么样的?

浏览器<——>web 服务器

第一次 http 请求

1、客户端向服务器发起 https 请求,连接到服务器的 443 端口
2、服务器端有一个密钥对,即公钥和私钥,是用来进行非对称加密使用的,服务器端保存着私钥。
3、服务器将自己的公钥证书发送给客户端。
4、客户端收到服务器端的证书之后,会对证书进行检查,验证其合法性,如果发现发现证书有问题,那么 https 传输就无法继续。严格的说,这里应该是验证服务器发送的数字证书的合法性。如果公钥合格,那么客户端会生成一个随机秘钥 R,然后用服务器的公钥加密。

第二次 http 请求

5、客户端发起 https 中的第二个 http 请求,将加密之后的随机秘钥 R 发送给服务器。
6、服务器接收到客户端发来的密文之后,会用自己的私钥对其进行非对称解密,解密之后的明文就是随机秘钥 R,然后用随机秘钥 R 对数据进行对称加密,这样数据就变成了密文。
7、然后服务器将加密后的密文发送给客户端。
8、客户端收到服务器发送来的密文,用随机秘钥 R 对其进行对称解密,得到服务器发送的数据。

总之,这样来来去去的就是为了安全地得到密钥 R,最终用会话密钥来加解密数据,工作流程大概是这样的。