HTTPS 可以理解为「在 HTTP 之下先铺好一条安全的传输通道」。 现代实现里,这条通道多由 TLS(常被口语称作 SSL/TLS)提供。
1. 机密性(别人看不懂)
明文 HTTP 下,链路上的设备理论上能看到请求与响应内容。 TLS 使用协商出的会话密钥对数据进行对称加密,使窃听者难以直接读懂有效载荷。
2. 完整性(中途没被篡改)
仅有加密还不够:攻击者仍可能尝试篡改密文。 TLS 通过消息认证机制检测篡改,使接收方能发现异常并拒绝不可靠数据。
3. 身份验证(你连的是谁)
服务器出示由受信任机构签发的 证书,客户端验证证书链与域名是否匹配, 从而降低「连到假冒站点」的风险。自签名证书在测试环境常见,公网服务一般使用公共 CA 或 Let’s Encrypt 等途径。
证书只证明「连接上的站点持有该域名」这一层身份,并不自动保证页面内容可信;钓鱼站也可能使用有效 HTTPS。
4. 和 HTTP 的关系
建立 TLS 会话后,浏览器仍在该安全通道里发送 HTTP 语义(请求行、头部、正文)。 因此你会听到「HTTPS = HTTP + TLS」这种便于记忆的说法。
算法套件、握手轮数与证书透明度等细节,建议以 TLS 1.2/1.3 官方规范与运维文档为准;此处帮助建立心智模型即可。