HTTPS 解析

     因为这串密钥只有客户端和服务端知道，所以即使中间请求被拦截也是没法解密数据的，以此保证了通信的安全

  

非对称加密算法：RSA，DSA/DSS     在客户端与服务端相互验证的过程中用的是对称加密 
对称加密算法：AES，RC4，3DES     客户端与服务端相互验证通过后，以随机数作为密钥时，就是对称加密
HASH算法：MD5，SHA1，SHA256  在确认握手消息没有被篡改时 

 

 

2.2  客户端如何验证 证书的合法性？

 

1. 验证证书是否在有效期内。

　　在服务端面返回的证书中会包含证书的有效期，可以通过失效日期来验证 证书是否过期

2. 验证证书是否被吊销了。

　　被吊销后的证书是无效的。验证吊销有CRL(证书吊销列表)和OCSP(在线证书检查)两种方法。

证书被吊销后会被记录在CRL中，CA会定期发布CRL。应用程序可以依靠CRL来检查证书是否被吊销了。

CRL有两个缺点，一是有可能会很大，下载很麻烦。针对这种情况有增量CRL这种方案。二是有滞后性，就算证书被吊销了，应用也只能等到发布最新的CRL后才能知道。

增量CRL也能解决一部分问题，但没有彻底解决。OCSP是在线证书状态检查协议。应用按照标准发送一个请求，对某张证书进行查询，之后服务器返回证书状态。

OCSP可以认为是即时的（实际实现中可能会有一定延迟），所以没有CRL的缺点。

 

3. 验证证书是否是上级CA签发的。

windows中保留了所有受信任的根证书，浏览器可以查看信任的根证书，自然可以验证web服务器的证书，

是不是由这些受信任根证书颁发的或者受信任根证书的二级证书机构颁发的（根证书机构可能会受权给底下的中级证书机构，然后由中级证书机构颁发中级证书）

在验证证书的时候，浏览器会调用系统的证书管理器接口对证书路径中的所有证书一级一级的进行验证，只有路径中所有的证书都是受信的，整个验证的结果才是受信

 

 

 

 

 

三  手机如何抓取HTTPS的请求数据

 

　　　　当站点由HTTP转成HTTPS后是更安全了，但是有时候要看线上的请求数据解决问题时却麻烦了，因为是HTTPS的请求，你就算拦截到了那也是加密的数据，没有任何意义。

　　那有方法解决吗？ 答案是肯定的！ 接下来就来个实例教程，教大家如何查看HTTPS的请求数据

 

　　首先需要安装Fiddler 用于拦截请求，和颁发https证书

 

3.1  Fiddler根证书导出

    

  按图中操作把导出，再将导出的的根证书"FiddlerRoot.cer" 的后辍名 改为"crt"  "FiddlerRoot.crt" 因为手机没法直接安装 cer格式的证书

 

    

 

3.2  证书安装

　 在本机把证书移到本机IIS中的某个网站的物理目录中，然后在手机浏览器中访问该证书的目录 如："192.168.0.102：8001/FiddlerRoot.crt"

 如图

 

    

 

　　此时手机会提示按装根证书，其实安装一个不受信的根证书是非常危险的，如果你安装了某些钓鱼网站或者有危害的根证书，那只要是该根证书下的所有证书都会验证通过，

那随便一个钓鱼网的网站只要安装了该根证书下的证书，都不会有任何警告提示。

很可能让用户有财产损失。所以在安装根证书时，手机系统会要求你输入锁屏密码，以确保是本人操作。

安装过程如下

 

　　Fiddler的根证书名字都提示了是不受信的根证书

    

 

安装完成

 

    

 

 

 

 

3.3  通过Fiddler抓取手机的HTTPS请求

 

       Fiddler默认侦听的端口是8888,把手机WiFI的Http 代理设为本机Fiddler的地址如下图

   这样手机上所有的请求都会先通过Fiddler，Fiddler再转发到目标服务器

 

注意： 在家中的路由器中有线与无线通常不在一个网段，会导致Fiddler无法抓到手机的包，需要手动设置路由，可自行百度

 

    

 

 

 

    代理也设好之后便可以开始抓到Https的请求内容了如图

Https的默认端口号是 “443”可以看出红框中的是未装根证书前的请求，加了一把小锁，而且请求记录都是灰色的

而安装证书后请求则一切正常，请求内容也都可以正常看到。

 

    

 

 

3.4  为什么安装了Fiddler根证书可以看到Https请求内容

 

　　要解释这个问题，就需要了解最开始的Https的验证原理了，回顾一下，先是客户端把自己支持的加密方式提交到服务端，然后服务端 会返回一个证书

到这一步问题来了，手机未什么要安装Fiddler的证书呢？

　　第一 因为Fiddler在客户端(手机)发出Https请求时，充当了服务器的角色，需要返回一个证书给客户端，

但是Fiddler的证书并不是CA机构颁发的，客户端一验证就知道是假的连接肯定就断了，那怎么办呢？

那就想办法让客户端信任这个服务端，于是就在客户端安装一个Fiddler的根证书。

所以只要是通过Fiddler的Https请求，验证根证书时自然会通过，因为Fiddler的根证书你已经受信了！

 

     第二 现在只是客户端(手机)和Fiddler这个伪服务端的Https验证通过了，还没有到真正的服务端去取数据的，此时Fiddler会以客户端的身份与真正的服务端再进行一次HTTPS的验证，最后拿到数据后

又以服务端的身份与客户端(手机)通信。也就是说在一次请求中数据被两次加解密，一次是手机到Fiddler，一次是Fiddler到真正的服务端。

 

整个过程  手机----》Fiddler----》 服务器  Fiddler 即充当了服务端又充当了客户端，才使得数据能够正常的交互，这个过程中最重要的一环就是手机端安装的 根证书！

 

 

 

 

四  总结

 

　写了这么多，其实也只是把Https的基本流程写清楚了一部分，这其中每一个步骤深入下去都是一门学科，而对于我们而言，能清楚其大致运作流程，做到心中有数据就算可以了，

Https在目前的网络数据安全传输占据着重要地位，目前可能也没有更优的方案来代替Https。另外一定要注意 不要随便安装不确定的的根证书，以免带来不必要的损失。

写这篇文章时，已经进入我的春节假期，而我也已经踏上了 回家的火车，大家有疑问可以在评论中回复，如有错误之处还望大家能指出，以免误导他人

 

提前祝大家新年快乐！

 

 

 

 

如果您觉得本文让您有所收获，不妨点下赞，为我的付出，给一点点回报！

如果您觉得本人也有点意思，不妨点个观注，大家一起谈技术，谈人生！

 

 

 以下为参考资料

http://www.guokr.com/post/114121/  https原理

 

http://www.guokr.com/post/116169/ SSL证书

 

http://www.cnblogs.com/svan/p/5090201.html https工作原理

 

http://blog.csdn.net/clh604/article/details/22179907 Https 原理

 

https://www.zhihu.com/question/37370216/answer/71956414  浏览器如何验证HTTPS证书的合法性？

 

http://blog.csdn.net/wkk2620632/article/details/39433673   公钥证书cer,pfx

 

http://www.07net01.com/zhishi/640504.html  数字证书资料cer和pfx的区别