这两篇文章写的很好,请参考:
HTTPS用的是对称加密还是非对称加密_咸鱼一号的博客-CSDN博客_https非对称加密
================================================
HTTP和HTTPS协议,看一篇就够了_不一样的博客-CSDN博客_https
上图是Http的工作流程图,Https会在Tcp首部这一层前加上安全层(SSL/TSL)加解密Http报文
注:TLS是SSL的升级替代版,具体发展历史可以参考传输层安全性协议。
HTTPS 可以防止用户在不知情的情况下通信链路被监听,对于主动授信的抓包操作是不提供防护的,因为这个场景用户是已经对风险知情。要防止被抓包,需要采用应用级的安全防护,例如采用私有的对称加密,同时做好移动端的防反编译加固,防止本地算法被破解
客户端得到SSL证书后,生成对称加密的秘钥,把这个秘钥用证书里面的公钥进行加密之后传到服务端,这样 客户端和服务端都有这个 对称加密秘钥了,也就可以进行 对称加密的传输了。