1、前言
最近在倒騰SSL方面的項目,之前只是雖然對SSL了解過,但是不夠深入,正好有機會,認真學習一下。開始了解SSL的是從https開始的,自從百度支持https以后,如今全站https的趨勢越來越強烈,互聯網對安全的認識越來越深入。本文根據自己的實際情況,對SSL鏈接建立做個總結。SSL相關的非對稱加密和加密,涉及到公鑰、私鑰、證書、對稱密鑰,這些非常復雜,本文不會涉及。本文重點介紹SSL的握手過程,客戶端和服務端的步驟,通過wireshark抓包分析整個過程。
2、基本概念
SSL:(Secure Socket Layer,安全套接字層),位于可靠的面向連接的網絡層協議和應用層協議之間的一種協議層。SSL通過互相認證、使用數字簽名確保完整性、使用加密確保私密性,以實現客戶端和服務器之間的安全通訊。該協議由兩層組成:SSL記錄協議和SSL握手協議。
TLS:(Transport Layer Security,傳輸層安全協議),用于兩個應用程序之間提供保密性和數據完整性。該協議由兩層組成:TLS記錄協議和TLS握手協議。
TLS是在SSL的基礎上標準化的產物,目前SSL3.0與TLS1.0保持一致的,二者是并列關系,只是大家習慣稱呼SSL。注明的web服務nginx默認支持的就是TLS1.0、TLS1.1、TLS1.2協議。調用的openssl庫中,對應的就是ssl3_acceptt函數。
SSL/TLS位于傳輸層和應用層之間,應用層數據不再直接傳遞給傳輸層,而是傳遞給SSL層,SSL層對從應用層收到的數據進行加密,并增加自己的SSL頭。
3、握手過程
我使用nginx搭建了一個https的服務,nginx的默認ssl cipher為HIGH:!aNULL:!MD5; 不同的cipher 決定了握手的交互過程。chrome瀏覽器支持的cipher如下所示:
cipher的格式為:認證算法_密鑰交換算法_加密算法_ 摘要算法
首先看看最基本的基于RSA的密鑰協商算法,配置的ssl sipher為 AES256-GCM-SHA256。
使用wireshark抓包分析,抓包如下所示:
從上面報文可以看出,SSL建立過程如下圖所示:
使用橢圓曲線(ECDHE)算法作為密鑰交換算法,配置ssl ciper為:
,交互流程如下所示:
抓包看如下:
從上面報文可以看出,SSL建立過程如下圖所示:
相比RSA算法而言,握手過程多了一個server key exchange步驟
RSA算法服務端沒有Server key Exchange。
4、參考資料
http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/
文章列表
留言列表
