前言
关于总结https原理,我的出发点比较简单,就是一直以来以为自己相对了解http与https的区别,但是真正跟别人聊起来才发现,其实连一知半解都算不上,只知道部署https服务端时需要申请证书,然后证书会被下发到请求443https端口的客户端,之间进行一些公钥私钥加密的一些行为,但是其中有很多步骤是需要我们去理解的,比如对称与非对称加密使用的地方、整个协商的过程、和我们使用Charles抓包https的原理。
下面就以流程图的方式,在我理解的视角分享一下这些原理。
正文
https概述
我们使用的普通的http协议,所有数据都是明文传输,任何人都能轻易的从网络传输中获取有效的数据,而https是建立于http的基础上,加上了ssl(Secure Sockets Layer安全套接层)协议的网络传输协议,其中通过数字证书、对称与非对称加密、数据完整性摘要等技术,完成数据传输的保密性、完整性。
客户端与服务端交互流程
以下来说一下使用https协议的过程中,客户端与服务端交互的大概流程,如下图:基本流程为客户端首次验证服务端证书有效性(1——4步);客户端与服务端协商加密与数据摘要算法(5);交换客户端对称加***流程(6——8);最后确认https能力的逻辑(9——11)。
加密及摘要算法使用方式
其中对称加密、非对称加密、数据摘要算法使用的详细细节,如下图所示:图来源于csdn,感觉很不错来接用一下。
下图中的接收方就是我们上面说的服务端;接收方公钥:服务端下发的证书;发送方私钥:客户端自己生成的字符串A。 因此可以通过这样的一种加密及数据摘要算法,保证https协议中数据传输的保密性及完整性。
Charles抓包https
上的面我们说了https相对http的优点及交互逻辑,https的特点就是加密传输,但我们就没法获取数据内容了吗,其实不是,下面我们大家几乎都会用到Charles抓包工具也可以完成https协议的数据内容抓取,其大概原理就是在客户端的视角把自己伪造成服务端、在服务端的视角把自己伪造成客户端。
其中Charles配置抓包https的流程如下:
- pc端Charles下载自己对应的证书;
- 使用客户端安装pc端上Charles的证书,输入网址下载;
- 客户端信任该证书;
- pc端Charles设置443https端口代理;
- 客户端开始调用进行抓包。
Charles https抓包原理
- Charles拦截客户端的请求,伪装成客户端向服务器进行请求;
- 服务器向“客户端”(实际上是Charles)返回服务器的CA证书;
- Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。(这一步,Charles拿到了服务器证书的公钥)
- 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称**,用Charles的公钥加密,发送给“服务器”(Charles)
- Charles拦截客户端的响应,用自己的私钥解密对称**,然后用服务器证书公钥加密,发送给服务器。(这一步,Charles拿到了对称**)
- 服务器用自己的私钥解密对称**,向“客户端”(Charles)发送响应
- Charles拦截服务器的响应,替换成自己的证书后发送给客户端
结语
通过本文,我这边阐述了https的交互原理、加解密细节、使用Charles工具抓包https的简单流程及原理,希望通过这个总结能和大家一起学习,如果有不对的地方还请及时指正。
参考资料
https
https://blog.csdn.net/xiaoming100001/article/details/81109617
https://www.jianshu.com/p/14cd2c9d2cd2
Charles抓包https
https://www.jianshu.com/p/ec0a38d9a8cf