HTTPS 背後的加密算法

當你在浏覽器的地址欄上輸入https開頭的網址後，浏覽器和服務器之間會在接下來的幾百毫秒內進行大量的通信。InfoQ的這篇文章對此有非常詳細的描述。這些復雜的步驟的第一步，就是浏覽器與服務器之間協商一個在後續通信中使用的密鑰算法。這個過程簡單來說是這樣的：

1. 浏覽器把自身支持的一系列Cipher Suite（密鑰算法套件，後文簡稱Cipher）[C1,C2,C3, …]發給服務器；
2. 服務器接收到浏覽器的所有Cipher後，與自己支持的套件作對比，如果找到雙方都支持的Cipher，則告知浏覽器；
3. 浏覽器與服務器使用匹配的Cipher進行後續通信。如果服務器沒有找到匹配的算法，浏覽器（以Firefox 30為例，後續例子中使用的浏覽器均為此版本的Firefox）將給出錯誤信息:

Secure連接失敗錯誤

本文將講述如何探究這一過程。

1. 浏覽器

浏覽器支持哪些Cipher？這取決於浏覽器支持的SSL/TLS協議的版本。習慣上，我們通常把HTTPS與SSL協議放到一起；事實上，SSL協議是Netcape公司於上世紀90年代中期提出的協議，自身發展到3.0版本。1999年該協議由ITEL接管，進行了標准化，改名為TLS。可以說，TLS 1.0就是SSL 3.1版本。在Wikipedia上並沒有SSL獨立的條目，而是會重定向到TLS，可見兩種協議關系之緊密。目前TLS最新版本是1.2。互聯網上有超過99%的網站支持TLS 1.0，而支持TLS 1.2的網站尚不足40%。打開Firefox浏覽器，在地址欄中輸入about:config，然後搜索tls.version，會看到下面的選項:

AboutConfig

其中security.tls.version.min和security.tls.version.max兩項決定了Firefox支持的SSL/TLS版本，根據Firefox文檔的介紹，這兩項的可選值及其代表的協議是：

• 0 – SSL 3.0
• 1 – TLS 1.0
• 2 – TLS 1.1
• 3 – TLS 1.2

因此上圖的設置說明當前浏覽器支持協議的下限是SSL 3.0，上限是TLS 1.2。現在，如果把security.tls.version.min一項改為3，那麼浏覽器就只支持TLS 1.2了。前文提到，目前只有不足40%的網站支持TLS 1.2，比如Amazon就不在這40%之列，所以此時訪問https://amazon.com，就會收到“Secure Connection Failed”的錯誤信息，如圖2所示。

了解了SSL/TLS協議後，可以使用Wireshark（或類似的可以抓去網絡包的工具）通過分析網絡包的信息，來查看浏覽器發送給服務器的所有Cipher。Wireshark是一款使用簡單卻非常強大的抓包工具。

浏覽器會首先發起握手協議，既一個“ClientHello”消息，在消息體中，可以找到Firefox支持的Cipher。在Wireshark中，按照Protocol協議排序，然後從TLS 1.2協議的報文中找到一個Info為“Client Hello”的。選中這個，然後在下面的報文信息窗口中依次找到Secure Sockets Layer -> TLSv1.2 Record Layer -> Handshake Protocal -> Cipher Suites。例子中的第一個Cipher是TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256，一共有23個:

clienthello

如果繼續找一個Info為“ServerHello”的報文，可以在類似的位置找到服務器返回的Cipher，在本例中是TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:

serverhello

關於密鑰算法這一長串名字的含義，後面說明。接下來，浏覽器就要等待服務器響應它的請求。我們來看一看服務器端都做了些什麼。

2. 服務器

讓我們以Windows為例。若要查看操作系統支持哪些密鑰算法，可以運行gpedit.msc，依次進入”Computer Configuration” -> ”Administrative Templates” -> “Network” -> “SSL Configuration Settings”，這時可以在窗口右邊看到”SSL Cipher Suite Order”項:

gpedit

點擊該項後進入”SSL Cipher Suite Order”。這裡可以看到操作系統支持的Cipher的集合，以及對不同Cipher的排序

cipher-suite-order

如果需要調整這裡排序，或者去掉一些弱的Cipher，可以點擊左上角的“Enabled”，然後在“Options”中重寫編輯Cipher的列表。如果喜歡命令行，可以通過下面的Powershell命令修改密鑰算法套件：

1. Set-ItemProperty-path HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\0001002-name Functions-value "XXX,XXX,XXX"

那麼Cipher的這一長串名字是什麼含義呢？其實，每種Cipher的名字裡包含了四部分信息，分別是

• 密鑰交換算法，用於決定客戶端與服務器之間在握手的過程中如何認證，用到的算法包括RSA，Diffie-Hellman，ECDH，PSK等
• 加密算法，用於加密消息流，該名稱後通常會帶有兩個數字，分別表示密鑰的長度和初始向量的長度，比如DES 56/56, RC2 56/128, RC4 128/128, AES 128/128, AES 256/256
• 報文認證信息碼（MAC）算法，用於創建報文摘要，確保消息的完整性（沒有被篡改），算法包括MD5，SHA等。
• PRF（偽隨機數函數），用於生成“master secret”。

完全搞懂上面的內容似乎還需要一本書的介紹（我已經力不從心了）。不過大致了解一下，有助於理解Cipher的名字，比如前面服務器發回給客戶端的Cipher ： TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 。從其名字可知，它是

• 基於TLS協議的；
• 使用ECDHE、RSA作為密鑰交換算法；
• 加密算法是AES（密鑰和初始向量的長度都是256）；
• MAC算法（這裡就是哈希算法）是SHA。

熟悉了Cipher名字背後的含義後，讓我們看看像IIS這樣的Web服務器如何選擇一個密鑰算法呢？假如浏覽器發來的密鑰算法套件為[C1, C2, C3]，而Windows Server支持的套件為[C4, C2, C1, C3]時，C1和C2都是同時被雙方支持的算法，IIS是優先返回C1，還是C2呢？答案是C2。IIS會遍歷服務器的密鑰算法套件，取出第一個C4，發現浏覽器並不支持；接下來取第二個C2，這個被浏覽器支持！於是，IIS選擇了C2算法，並將它包含在一個“ServerHello”握手協議中，發回給客戶端。這就有了圖5中的結果。

3. 選擇

作為浏覽器的使用者，你可以讓浏覽器只能訪問支持TLS 1.2協議的站點，以獲得更好的安全性，以及更差的體驗。作為服務器的維護者，似乎將最強壯的Cipher排在前面是正確的選擇。就在前不久，我們開發的一個Web報稅系統在一次由第三方進行的安全檢查中，被報出的問題之一就是服務器默認的Cipher太弱（RC4-based），於是我們使用了AES-based的Cipher，但是密鑰長度只是選擇了128，而不是256，背後的擔憂主要來自於性能——加密與解密是CPU密集型操作，我們擔心到報稅忙季時，過強的Cipher會帶來性能問題。

其實像Amazon和Google這些互聯網公司都在使用RC4-based的加密算法。這又是一次理論與實踐的交鋒。至於這次對於的線上系統所做的調整會不會對性能產生影響，幾個月後就能見分曉了。

Https(SSL/TLS)原理詳解 http://www.linuxidc.com/Linux/2015-07/120229.htm

理解 HTTPS 協議 http://www.linuxidc.com/Linux/2015-06/118484.htm

利用httpd+OpenSSL來實現網站的https http://www.linuxidc.com/Linux/2014-03/98954.htm

簡單配置HTTPS 認證訪問 http://www.linuxidc.com/Linux/2014-03/98767.htm

Nginx配置SSL證書部署HTTPS網站 http://www.linuxidc.com/Linux/2013-08/88271.htm