SSL/TLS握手过程分为两部分，TCP通信和SSL通信部分，SSL部分握手主要是为了身份的验证，确保客户端和服务端通过证书相连接时是安全可信的，而不是第三方冒充的，本文通过Chorme的抓包工具对这个过程进行简单的了解。

如上图，SSL握手连接过程下面几个阶段

• 1.client发送ClientHello，指定版本，随机数(RN)，所有支持的密码套件(CipherSuites)
• 2.server回应ServerHello，指定版本，RN，选择CipherSuites，会话ID(Session ID)
• 3.server发送Certificate
• 4.Server发送ServerHelloDone
• 5.Client发送ClientKeyExchange，用于与server交换session key
• 6.Client发送ChangeCipherSpec，指示Server从现在开始发送的消息都是加密过的
• 7.Client发送Finishd，包含了前面所有握手消息的hash，可以让server验证握手过程是否被第三方篡改
• 8.Server发送ChangeCipherSpec，指示Client从现在开始发送的消息都是加密过的
• 9.Server发送Finishd，包含了前面所有握手消息的hash，可以让client验证握手过程是否被第三方篡改，并且证明自己是Certificate密钥的拥有者，即证明自己的身份

下面我们使用Chrome的Events工具来分析SSL/TLS从握手到建立通信的全过程。

第一部分：使用工具

在Chrome地址栏中输入：chrome://net-internals/#events 可打开Chrome自带的抓包工具，如下图

以访问https://www.baidu.com.com以测试，在上图中输入 ssl/www.baidu.com 来监听百度的SSL通信，并且勾选其三个阶段，分别是：

• SSL_CONNECT_JOB
• TRANSPORT_CONNECT_JOB
• SOCKET

 此时我们可以看到右侧依次将三个阶段通信详情展示如下图：

第二部分：SSL通信

下面开始分析，只勾选SOCKET，我们看到下图中

注意，上图中 --> type = 1 表示当前握手通信（Handshake Type）进行到哪一步，例如A表示ClientHello阶段，详情见下表：

1、A部分进行了SSL/TLS建立之前的第一次TCP协商通信

2、B部分在22ms时客户端发送了ClientHello

3、B部分在46ms时服务端回应了SeverHello

到此时，客户端与服务端进行了三次往返的通信，

4、服务端在46ms内又送送了三个handshake，主要是Certificate、ServerKeyExchange、ServerHelloDone共用了一个handshake。

5、客户端在47ms处发送了ClientKeyExchange

客户端拿到服务端的Certificate，使用公钥和session key进行交换

6、客户端发送ChangeCipherSpec

客户端此时告诉服务端，从现在开始发送的消息都是加密过的

7、客户端发送Finished

8、服务端发送ChangeCipherSpec

9、服务端发送Finishd

参考文献：

http://www.cnblogs.com/piyeyong/archive/2010/07/02/1770208.html

http://colin-dumitru.github.io/network/latency/web-performance/2015/02/04/understanding-network-overhead.html