SSL/TLS 早已不是陌生的詞匯,然而其原理及細則卻不是太容易記住。本文將試圖通過一些簡單圖示呈現其流程原理,希望讀者有所收獲。
一、相關版本
| Version | Source | Description | Browser Support |
| SSL v2.0 | Vendor Standard (from Netscape Corp.) [SSL2] |
First SSL protocol for which implementations exist | - NS Navigator 1.x/2.x - MS IE 3.x - Lynx/2.8+OpenSSL |
| SSL v3.0 | Expired Internet Draft (from Netscape Corp.) [SSL3] |
Revisions to prevent specific security attacks, add non-RSA ciphers and support for certificate chains | - NS Navigator 2.x/3.x/4.x - MS IE 3.x/4.x - Lynx/2.8+OpenSSL |
| TLS v1.0 | Proposed Internet Standard (from IETF) [TLS1] |
Revision of SSL 3.0 to update the MAC layer to HMAC, add block padding for block ciphers, message order standardization and more alert messages. | -Lynx/2.8+OpenSSL |
SSL全稱為 Socket Security Layer,TLS全稱為Transport Layer Security,這兩者沒有本質的區別,都是做的傳輸層之上的加密(介於傳輸層及應用層之間)。TLS是后續SSL版本分支的名稱,花費長時間去爭論兩者的優劣沒有意義。目前TLS最新版本為 TLS1.2(也稱為SSL3.3)
二、SSL/TLS 解決的問題
信息被竊聽(wiretap),第三方隨時隨地獲得通訊內容;
SSL/TLS 實現了傳輸信息的加密。
數據被篡改(tampering),第三方可修改傳輸中的數據;
SSL/TLS 實現了數據簽名及校驗。
身份被冒充(pretending),第三方可冒充通訊者身份傳輸數據;
SSL/TLS 采用了CA數字證書認證機制。
三、握手階段
簡單點說,SSL/TLS對於傳輸層的加密是通過動態密鑰對數據進行加密實現的,而動態密鑰則通過握手流程協商制定;為了保證動態密鑰的安全性,其中免不了使用公鑰加密算法(非對稱)、數字證書簽名等技術手段。
一個SSL/TLS 握手過程需要協商的信息包括:
1 協議的版本號;
2 加密算法,包括非對稱加密算法、動態密鑰算法;
3 數字證書,傳輸雙方通過交換證書及簽名校驗對彼此進行鑒權;
4 動態密鑰,傳輸數據過程使用該密鑰進行對稱加解密,該密鑰通過非對稱密鑰進行加密傳輸。
四、流程解析
一個典型的SSL/TLS 握手流程包括雙向認證,如下所示:
1. 客戶端發出一個 client hello 消息,攜帶的信息包括:
所支持的SSL/TLS 版本列表;支持的與加密算法;所支持的數據壓縮方法;隨機數A;
2. 服務端響應一個 server hello 消息,攜帶的信息包括:
協商采用的SSL/TLS 版本號;會話ID;隨機數B;服務端數字證書 serverCA;
由於雙向認證需求,服務端需要對客戶端進行認證,會同時發送一個 client certificate request,表示請求客戶端的證書;
3. 客戶端校驗服務端的數字證書;校驗通過之后發送隨機數C,該隨機數稱為pre-master-key,使用數字證書中的公鑰加密后發出;
由於服務端發起了 client certificate request,客戶端使用私鑰加密一個隨機數 clientRandom隨客戶端的證書 clientCA一並發出;
4. 服務端校驗客戶端的證書,並成功將客戶端加密的隨機數clientRandom 解密;
根據 隨機數A/隨機數B/隨機數C(pre-master-key) 產生動態密鑰 master-key,加密一個finish 消息發至客戶端;
5. 客戶端根據 同樣的隨機數和算法 生成master-key,加密一個finish 消息發送至服務端;
6. 服務端和客戶端分別解密成功,至此握手完成,之后的數據包均采用master-key進行加密傳輸。
五、要點解析
雙向認證和單向認證
雙向認證更好的解決了身份冒充問題,服務端提供證書的同時要求對客戶端身份進行認證;然而在一些常見的應用場景下往往只有單向認證,如采用https網站只需要求客戶端(瀏覽器)對服務端的證書進行認證。
在單向認證場景下,握手階段2服務端不會發出 client certificate request,之后服務端也不需要校驗客戶端證書;
在雙向認證場景下,客戶端如果無法提供證書,會發出 no digital certificate alert 的警告信息,此時可能導致握手失敗(根據服務端策略而定);
隨機數的使用
由於數字證書是靜態的,因此要求使用隨機因素來保證協商密鑰的隨機性;對於RSA 算法來說,pre-master-key本身就是一個隨機數,再加上hello消息中的隨機,三個隨機數通過一個密鑰導出器最終導出一個對稱密鑰。
之所以采用 pre-master-key 機制是因為SSL協議不信任每個主機都能產生完全隨機的隨機數,如果 pre-master-key 不隨機,那么被猜出來的風險就很大,於是僅僅使用 pre-master-secret作為密鑰不合適,需要引入新的隨機因素,也就是同時結合hello消息中的雙向隨機數。
會話密鑰重用
SSL/TLS握手過程比較繁瑣,同時非對稱加解密性能比對稱密鑰要差得多;如果每次重建連接時都需要進行一次握手會產生較大開銷,因此有必要實現會話的重用以提高性能。
常用的方式包括:
SessionID(RFC 5246),客戶端和服務端同時維護一個會話ID和會話數據狀態;重建連接時雙方根據sessionID找到之前的會話密鑰實現重用;
SessionTicket(RFC 5077),由服務端根據會話狀態生成一個加密的ticket,並將key也發給客戶端保證兩端都可以對其進行解密。該機制相較sessionID的方式更加輕量級,服務端不需要存儲會話狀態數據,可減輕一定壓力。
證書的校驗
1. 檢查數字簽名;
數字簽名通過數字摘要算法生成並通過私鑰加密傳輸,對端公鑰解密;
2. CA鏈授權檢查;
3. 證書過期及激活時間檢查;
數字摘要的計算圖示
關於Server Name Indication
在普通 SSL/TLS握手的過程中,客戶端發送的信息之中不包括服務器的域名;因此理論上服務器只能包含一個域名,否則會分不清應該向客戶端提供哪一個域名的數字證書。在后續TLS的版本中實現了SNI(Server Name Indication) 擴展,用於支持一台服務器主機需服務多個域名的場景。
由客戶端請求時發送指定的域名,服務器據此選擇相應證書完成握手。
六、參考文檔
An overview of the SSL or TLS handshake