1、SSL握手过程 在SSL握手阶段,客户端和服务器间的交互过程图如下所示:
2、客户端发起请求 客户端以明文传输发起请求。请求信息包含版本信息、加密套件候选列表、压缩算法候选列表、随机数、扩展字段等。具体细节如下: 支持的TSL协议版本:从低到高依次是SSLv2、SSLv3、TLSv1、TLSv1.1和TLSv1.2。 支持的加密套件: 每个加密套件对应前面TLS原理中的四个功能的组合,包含认证算法 Au (身份验证)、密钥交换算法 KeyExchange(密钥协商)、对称加密算法 Enc (信息加密)和信息摘要算法MAC(完整性校验)。 支持的压缩算法:用于后续信息的压缩传输。 随机数:用于后续的密钥的生成。 扩展字段:支持协议与算法的相关参数以及其它辅助信息等,常见的Server Name Indication(SNI)就属于扩展字段。
3、服务端响应请求 服务端返回协商的信息结果,包括选择使用的协议版本(version)、选择的加密套件(cipher suite)、选择的压缩算法(compression method)、随机数(random_S)等,其中,随机数用于后续的密钥协商。 服务器端配置对应的证书链,来验证身份与交换密钥。 通知客户端信息发送结束。
4、客户端校验证书 客户端验证证书的合法性,如果验证通过,则进行下一步通信。否则,根据错误情况做出响应的提示或操作。合法性验证的内容如下: 证书链的可信性:方法如前文所述。 证书是否吊销:离线 CRL(证书吊销列表)与在线 OCSP(在线证书列表)两类方式校验,不同的客户端行为会不同。
