HTTPS协议如何工作

当你在浏览器地址栏看到那个小锁图标，说明你正在访问的网站使用了HTTPS协议。这个看似简单的标志背后，其实是一整套复杂但高效的安全机制在运作。

HTTP是明文传输的，就像寄一张没封口的明信片，谁都能看到内容。而HTTPS就是在HTTP的基础上加了一层加密通道，相当于把信装进密封的信封里，只有收件人才能打开。

当你输入一个HTTPS网址，比如 https://example.com，浏览器会先向服务器发起连接请求。这时候双方要完成一个叫“TLS握手”的过程。

服务器会把自己的数字证书发给浏览器。这个证书就像是网站的身份证，里面包含了公钥和域名等信息。浏览器会检查这个证书是否由可信的机构签发、有没有过期、域名是否匹配。

验证通过后，浏览器会生成一个随机的会话密钥，并用证书里的公钥加密后发给服务器。服务器用自己的私钥解密，拿到这个会话密钥。

之后双方通信就都用这个会话密钥进行对称加密。之所以不全程用非对称加密，是因为它计算成本高、速度慢。而对称加密快得多，适合大量数据传输。

整个过程就像两个人先用公开方式确认身份，然后约定一个只有他们知道的暗号，接下来就用这个暗号快速交流。

除了加密，HTTPS还通过消息认证码（MAC）确保数据没被篡改。每一段数据都会附带一个校验值，接收方重新计算比对，一旦发现不一致就知道数据有问题。

这就像快递包裹贴了个防拆封条，哪怕只动了一点点，收件人也能立刻察觉。

1. 客户端发送“Client Hello”，包含支持的TLS版本和加密算法列表。

2. 服务器回应“Server Hello”，选定加密套件，并发送证书。

3. 客户端验证证书，生成预主密钥，用公钥加密后发送。

4. 双方基于预主密钥生成相同的会话密钥。

5. 握手完成，开始用会话密钥加密传输数据。

如果中间有人试图冒充服务器，他拿不到真正的私钥，就无法正确解密预主密钥，后续步骤就会失败。

你在登录银行账户、输入密码、提交订单时，页面自动跳转到HTTPS，就是这个机制在起作用。即使你在公共Wi-Fi下操作，别人也很难窃取你的敏感信息。

现代浏览器还会对无效证书直接拦截，弹出警告页面，防止用户误入钓鱼网站。这种主动防御已经成了上网的基本保护。

HTTPS协议如何工作 使用技巧与常见问题解析