Wireshark解释了SSL / TLS握手截图

通过一系列握手,在浏览器或其他客户端与服务器之间建立加密连接。 在本文中,我将说明Wireshark的SSL / TLS握手。

步骤1。 客户您好

客户端开始通信。 第一步叫做 客户你好。 客户名单 SSL / TLS的版本密码套件 它可以使用。

第2步。 服务器你好

服务器将看到SSL / TLS版本和密码套件的列表,并选择服务器能够使用的最新版本。 然后,服务器向客户端发送一条消息,其中包含它选择的SSL / TLS版本和密码套件。

SSL / TLS握手说明

第三步服务器密钥交换

服务器和客户端对SSL / TLS版本和密码套件进行攻击之后,服务器将发送两件事。 首先是它的 SSL / TLS证书 给客户。 客户端(Web浏览器)验证服务器的证书。 Web浏览器本身存储根CA(证书颁发机构)的列表。 这些根CA是Web浏览器信任的第三方。 服务器的证书由根CA或直接CA颁发。 即时CA是根CA信任的CA。

Web浏览器信任根CA。 根CA信任直接CA。 如果服务器的证书是由受信任的根CA或直接CA颁发的,则浏览器会破坏服务器的证书。 在本文结尾,我将告诉您如何在Web浏览器中找到这些根CA。

服务器密钥交换

服务器发送的第二件事是 公钥和签名。 公钥实际上包含在证书中。 客户端和服务器使用公钥加密消息,并且只能使用私钥解密消息。 服务器从不与任何人共享其私钥。

服务器密钥交换

在服务器密钥交换结束时,服务器发送一个 服务器问好了 信息。

第四步。 客户密钥交换

到目前为止,客户端和服务器之间发送的所有信息都是未加密的。 现在,客户端收到服务器的公共密钥,并生成一个用公共密钥加密的新会话密钥(也称为预主密钥),并将其发送到服务器。 会话密钥只能用私钥解密,并且因为只有服务器具有私钥,所以只有客户端和服务器才知道会话密钥。 该会话密钥仅在一个会话中有效。 如果用户第二天关闭客户端并访问同一台服务器,则客户端将生成一个新的会话密钥。

客户密钥交换

步骤5.更改密码规范

客户端和服务器均发送更改密码规范消息,以通知接收方后续的记录将在刚刚协商的CipherSpec和密钥的保护下。

步骤6.加密的握手

客户端和服务器相互发送一条加密消息,说密钥信息正确。

现在,客户端(Web浏览器)将在地址栏中看到绿色的锁。 客户端和服务器使用会话密钥加密http通信。

如何在浏览器中查看根CA

火狐浏览器

工具类 > 选件 > 高级 > 证书 > 查看证书

火狐证书管理器

设定 > 显示高级设置 > 管理证书 > 当局

chrome证书管理器

Sidebar