当前位置：首页 > news >正文

HTTPS建立连接的过程

news 2025/7/8 20:10:44

HTTPS 协议是基于 TCP 协议的，因而要先建立 TCP 的连接。在这个例子中，TCP 的连接是在手机上的 App 和负载均衡器 SLB 之间的。

尽管中间要经过很多的路由器和交换机，但是 TCP 的连接是端到端的。TCP 这一层和更上层的 HTTPS 无法看到中间的包的过程。尽管建立连接的时候，所有的包都逃不过在这些路由器和交换机之间的转发，转发的细节我们放到那个下单请求的发送过程中详细解读，这里只看端到端的行为。

对于 TCP 连接来讲，需要通过三次握手建立连接，为了维护这个连接，双方都需要在 TCP 层维护一个连接的状态机。

一开始，客户端和服务端都处于 CLOSED 状态。服务端先是主动监听某个端口，处于 LISTEN 状态。然后客户端主动发起连接 SYN，之后处于 SYN-SENT 状态。服务端收到发起的连接，返回 SYN，并且 ACK 客户端的 SYN，之后处于 SYN-RCVD 状态。

客户端收到服务端发送的 SYN 和 ACK 之后，发送 ACK 的 ACK，之后处于 ESTABLISHED 状态。这是因为，它一发一收成功了。服务端收到 ACK 的 ACK 之后，也会处于 ESTABLISHED 状态，因为它的一发一收也成功了。

当 TCP 层的连接建立完毕之后，接下来轮到 HTTPS 层建立连接了，在 HTTPS 的交换过程中，TCP 层始终处于 ESTABLISHED。

对于 HTTPS，客户端会发送 Client Hello 消息到服务器，用明文传输 TLS 版本信息、加密套件候选列表、压缩算法候选列表等信息。另外，还会有一个随机数，在协商对称密钥的时候使用。

然后，服务器会返回 Server Hello 消息，告诉客户端，服务器选择使用的协议版本、加密套件、压缩算法等。这也有一个随机数，用于后续的密钥协商。

然后，服务器会给你一个服务器端的证书，然后说：“Server Hello Done，我这里就这些信息了。”

客户端当然不相信这个证书，于是从自己信任的 CA 仓库中，拿 CA 的证书里面的公钥去解密电商网站的证书。如果能够成功，则说明电商网站是可信的。这个过程中，你可能会不断往上追溯 CA、CA 的 CA、CA 的 CA 的 CA，反正直到一个授信的 CA，就可以了。

证书验证完毕之后，觉得这个服务端是可信的，于是客户端计算产生随机数字 Pre-master，发送 Client Key Exchange，用证书中的公钥加密，再发送给服务器，服务器可以通过私钥解密出来。

接下来，无论是客户端还是服务器，都有了三个随机数，分别是：自己的、对端的，以及刚生成的 Pre-Master 随机数。通过这三个随机数，可以在客户端和服务器产生相同的对称密钥。

有了对称密钥，客户端就可以说：“Change Cipher Spec，咱们以后都采用协商的通信密钥和加密算法进行加密通信了。”

然后客户端发送一个 Encrypted Handshake Message，将已经商定好的参数等，采用协商密钥进行加密，发送给服务器用于数据与握手验证。

同样，服务器也可以发送 Change Cipher Spec，说：“没问题，咱们以后都采用协商的通信密钥和加密算法进行加密通信了”，并且也发送 Encrypted Handshake Message 的消息试试。

当双方握手结束之后，就可以通过对称密钥进行加密传输了。

此文章为10月Day09学习笔记，内容来源于极客时间《趣谈网络协议》，推荐该课程。

HTTPS建立连接的过程

相关文章：

HTTPS建立连接的过程

Python接口自动化搭建过程，含request请求封装！

Vue3 编译原理

spring boot整合Minio

Hadoop----Azkaban的使用与一些报错问题的解决

「新房家装经验」客厅电视高度标准尺寸及客厅电视机买多大尺寸合适？

ArduPilot开源飞控之AP_Baro_DroneCAN

Supervised Contrastive Pre-training for Mammographic Triage Screening Model

JVM技术文档--JVM优化思路以及问题定位--JVM可调整参数汇总

Oracle10g数据库迁移方案

备忘录模式：对象状态的保存与恢复

C# InvokeRequired线程安全

pdf怎么转成jpg图片格式

React +ts + babel+webpack

红队专题-REVERSE二进制逆向反编译

Spring技术原理之Bean生命周期原理解析

Unity实现设计模式——模板方法模式

C++实现高性能内存池（二）

沪深300期权一个点多少钱？

怎么防止重要文件夹丢失？文件夹安全如何保护？

铭豹扩展坞 USB转网口突然无法识别解决方法

【HarmonyOS 5.0】DevEco Testing：鸿蒙应用质量保障的终极武器

《从零掌握MIPI CSI-2: 协议精解与FPGA摄像头开发实战》-- CSI-2 协议详细解析 (一）

SCAU期末笔记 - 数据分析与数据挖掘题库解析

React Native在HarmonyOS 5.0阅读类应用开发中的实践

新能源汽车智慧充电桩管理方案：新能源充电桩散热问题及消防安全监管方案

ElasticSearch搜索引擎之倒排索引及其底层算法

根据万维钢·精英日课6的内容，使用AI（2025）可以参考以下方法：

浪潮交换机配置track检测实现高速公路收费网络主备切换NQA

iOS性能调优实战：借助克魔(KeyMob)与常用工具深度洞察App瓶颈