AndroidHTTPS安全请求解析2-手机请求以及连接捕获

文章链接:http://www.liuschen.com

1. Fiddler捕获HTTPS原理

之前所说，当手机通过PS上的Fiddler代理访问网络时，Fiddler会从服务器端请求到一个证书，同Fiddler自带的根证书合并生成一个新的证书返回给客户端(手机)，由于此证书没有在权威认证机构注册过，所以显示不合法。这种办法是不能看到完整的SSl请求数据的

SSL会话原理

1. 客户端发送安全会话请求
2. 服务器发送X509(或其他，根据配置)证书，包含服务器公钥
3. 客户端用已知的CA列表来认证证书(如果是手机客户端的话，会在Assets文件夹下有证书文件，通过代码加载)
4. 客户端生成随机对称密钥，并用服务端的公钥加密
5. 客户机和服务器都知道了对称密钥，并用它来加密会话期间的用户数据

SSL是高层协议，工作在传输层之上。

在Fiddler上代理访问时，启用了它的测试证书，手机访问会提示证书不安全，这个是服务端对客户端证书请求导致的，没请求到符合规范的证书，所以提示，如果这一过程是强制的，将直接导致会话失败。

在wireshark中捕获请求得到的数据将是TCP包，SSL是上层协议，而wireshark捕获后分析报文到传输层为止。

可以下载OPENSSL了解其中的功能。

TO BE CONTINUE