TLS连接和Chrome源码解密过程详解

从Chrome源码的角度解读HTTPS的加密和解密过程

前言

随着互联网的发展，网络安全变得越来越重要。HTTPS作为一种安全协议，可以帮助我们保护数据免受窃听和篡改。在上一篇《https连接的前几毫秒发生了什么》中，我们详细地介绍了https连接的过程，该篇通过抓包工具分析整个过程，本篇将从Chrome源码的角度着重介绍加密和解密的过程，并补充更多的细节。

HTTPS连接的握手过程

HTTPS连接的握手过程可以分为以下几个步骤：

1. 客户端发送Client Hello消息，其中包含客户端支持的协议版本、加密套件和随机数。
2. 服务器发送Server Hello消息，其中包含服务器选择的协议版本、加密套件和随机数。
3. 客户端发送Certificate Request消息，其中包含客户端要求服务器提供的证书类型。
4. 服务器发送Certificate消息，其中包含服务器的证书。
5. 客户端验证服务器的证书，如果证书有效，则发送Certificate Verify消息。
6. 服务器发送Change Cipher Spec消息，其中包含新的加密套件。
7. 客户端发送Finished消息，其中包含加密后的随机数。
8. 服务器发送Finished消息，其中包含加密后的随机数。

Chrome源码中的加密和解密过程

Chrome/Chromium是使用BoringSSL做为TLS层的库，它是OpenSSL的一个分支，具有更快的速度和更低的内存消耗。

加密过程

在Chrome中，加密过程主要在BoringSSL库的ssl/record/record_layer.cc文件中进行。该文件中定义了SSLRecordLayer类，该类负责加密和解密数据。

SSLRecordLayer类有一个Encrypt方法，该方法接受一个要加密的数据缓冲区和一个加密套件作为参数。该方法首先使用加密套件中的密钥和算法对数据缓冲区进行加密，然后将加密后的数据缓冲区返回。

解密过程

在Chrome中，解密过程也主要在BoringSSL库的ssl/record/record_layer.cc文件中进行。该文件中定义了SSLRecordLayer类，该类负责加密和解密数据。

SSLRecordLayer类有一个Decrypt方法，该方法接受一个要解密的数据缓冲区和一个加密套件作为参数。该方法首先使用加密套件中的密钥和算法对数据缓冲区进行解密，然后将解密后的数据缓冲区返回。

补充细节

客户端证书验证

在HTTPS连接的握手过程中，客户端可以要求服务器提供客户端证书。客户端证书用于验证客户端的身份。如果客户端没有客户端证书，则可以跳过这一步。

会话重用

为了提高HTTPS连接的效率，Chrome会对HTTPS连接进行会话重用。会话重用是指客户端和服务器在后续的连接中使用相同的加密套件和密钥。这样可以避免每次连接都重新进行握手过程。

OCSP装订

OCSP装订是一种技术，可以帮助客户端验证服务器证书的吊销状态。OCSP装订是指服务器在证书中包含一个OCSP响应，该响应包含证书的吊销状态。客户端可以通过OCSP响应来验证证书是否被吊销。

总结

本文从Chrome源码的角度介绍了HTTPS连接的加密和解密过程，并补充了更多的细节。这些细节可以帮助我们更好地理解HTTPS连接的工作原理。