HTTPS = HTTP + TLS。它做的事很简单:先建立安全通道,再在通道里传 HTTP 数据。
1、先建 TCP 连接(三次握手)
客户端发 SYN → 服务器回 SYN+ACK → 客户端回 ACK。此时连接建立,但还没加密。
2、开始 TLS 握手:协商"怎么加密"
客户端发 ClientHello:支持的 TLS 版本、加密套件、随机数等。
服务器回 ServerHello:选定版本/套件,并把证书发给客户端(包含服务器公钥)。
3、证书校验:确认你连的真的是它
客户端用系统/浏览器内置的 CA 根证书链去验证:
证书是否被可信机构签发、是否过期、域名是否匹配、是否被吊销等。
通过后,才能继续,否则浏览器会提示不安全。
4、密钥交换:生成"会话密钥"
关键点:非对称加密(公钥/私钥)主要用来"安全地协商密钥",不适合大量数据传输。
客户端与服务器通过密钥交换算法(如 ECDHE)协商出同一把会话密钥(对称密钥)。
会话密钥只在本次连接里用,速度快,安全性高。
5、切换到加密通道(Change Cipher Spec)
双方确认后续都用会话密钥进行加密/解密,并完成握手。
6、加密传输数据
接下来传的就是加密后的 HTTP 请求/响应(Encrypted Data)。
同时配合完整性校验(防篡改)与身份验证(防冒充)。
一句话总结
TCP 负责"连上";TLS 负责"验证身份 + 协商密钥 + 加密传输"。
非对称:用来握手与身份认证;对称:用来高效加密传数据。
