在前端和后端开发领域，安全问题无疑是至关重要的，而 HTTPS（HyperText Transfer Protocol Secure）则是保障数据传输安全的基石。面试中，了解 HTTPS 的详细过程不仅能展现你的技术深度，也能体现你对安全细节的关注。今天，我们就来全面解析 HTTPS 的过程，从握手到加密，一步步揭开其神秘面纱！

HTTPS 简介

HTTPS 是一种基于 HTTP 的安全通信协议，通过 SSL/TLS（Secure Socket Layer / Transport Layer Security）来加密数据，确保数据在客户端和服务器之间的传输过程中不被窃听或篡改。

HTTPS 连接过程（握手流程）?

HTTPS 通信的核心在于 SSL/TLS 握手过程。下面是整个握手的详细步骤：

1. 客户端发起请求

客户端（如浏览器）向服务器发起 HTTPS 请求，这个过程中会生成一个随机数 ClientHello，包含支持的 SSL/TLS 协议版本、加密算法列表等。

ClientHello:
    Version: TLS 1.2
    Random: Random Data
    Cipher Suites: [TLS_RSA_WITH_AES_128_CBC_SHA, ...]

2. 服务器响应

服务器收到请求后，返回 ServerHello 响应，并选择 SSL/TLS 协议版本和加密算法，同时发送服务器的数字证书（包含公钥）。

ServerHello:
    Version: TLS 1.2
    Random: Random Data
    Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA
Certificate:
    Subject: www.example.com
    Public Key: <Server's Public Key>

3. 客户端验证证书

客户端使用预装的受信任的根证书列表验证服务器的数字证书。如果证书合法，继续进行下一步。

4. 生成对称密钥

客户端生成一个随机数 pre-master secret，使用服务器的公钥加密后发送给服务器。服务器使用自己的私钥解密得到该随机数。此后，客户端和服务器根据 pre-master secret 和之前的随机数 ClientHello 和 ServerHello 共同生成对称密钥。

Client Key Exchange:
    Encrypted Pre-Master Secret: <Encrypted with Server's Public Key>

5. 加密通信

握手过程完成后，客户端和服务器将使用对称密钥加密通信数据，并进行最后校验确认。

ChangeCipherSpec
Finished: <Hash of all handshakes>

实战示例代码

为了突显 HTTPS 的重要性，我们可以模拟一个简单的 HTTPS 请求。

使用 JavaScript 发送 HTTPS 请求

const https = require('https');

// 设置请求选项
const options = {
  hostname: 'www.example.com',
  port: 443,
  path: '/',
  method: 'GET'
};

// 发送 HTTPS 请求
const req = https.request(options, (res) => {
  console.log(`状态码: ${res.statusCode}`);

  res.on('data', (d) => {
    process.stdout.write(d);
  });
});

req.on('error', (e) => {
  console.error(`请求遇到问题: ${e.message}`);
});

// 结束请求
req.end();

源码解析

客户端验证数字证书

客户端在握手过程中需要验证服务器的数字证书。通过 Node.js 提供的 https 模块，可以使用 ca 选项指定一个 CA（Certificate Authority）证书，用于验证服务器证书的可信度。

const https = require('https');
const fs = require('fs');

// 加载 CA 证书
const ca = fs.readFileSync('path/to/ca-cert.pem');

// 设置请求选项，使用自定义 CA
const options = {
  hostname: 'www.example.com',
  port: 443,
  path: '/',
  method: 'GET',
  ca: [ca] // 自定义 CA 证书
};

// 发送 HTTPS 请求
const req = https.request(options, (res) => {
  console.log(`状态码: ${res.statusCode}`);

  res.on('data', (d) => {
    process.stdout.write(d);
  });
});

req.on('error', (e) => {
  console.error(`请求遇到问题: ${e.message}`);
});

// 结束请求
req.end();

HTTPS 各阶段的意义与安全性提升

对称加密与非对称加密

• 非对称加密：在握手过程中公钥和私钥用于加密和解密对称密钥生成材料，使其具有足够的安全性。然而，由于非对称加密计算复杂，耗时较长，通常仅用于初始密钥交换阶段。
• 对称加密：在建立初始连接之后，双方使用对称密钥进行快速加密通信，相比非对称加密，对称加密算法低耗时，适合数据传输阶段。

完整性校验与证书验证

• 完整性校验：HTTPS 在数据传输过程中附带有 MAC（Message Authentication Code）或 HMAC（Hash-based Message Authentication Code），确保数据未被篡改。
• 证书验证：通过受信任的 CA 证书链验证数字证书的真实性，从而确保服务器身份的合法性。

总结

HTTPS 协议的安全性离不开 SSL/TLS 握手过程。理解并掌握这一过程，从握手到数据加密和校验，有助于我们增强网络安全意识，设计更为安全的应用系统。熟悉 HTTPS 的工作原理和安全机制，不仅能提升面试表现，也能为实际项目提供坚实的保障。

坚持学习每一刻，安全我们共同守护！了解 HTTPS，加固你的技术高地！

坚持学习，每天进步一点点！

#头条创作挑战赛#