首页 > 其他资讯 > 你真的懂 HTTPS 吗？SSL、TLS 的关系，90% 的人都搞错了

你真的懂 HTTPS 吗？SSL、TLS 的关系，90% 的人都搞错了

时间：26-04-25

前言：HTTPS 不是“多了个 S”这么简单

对开发者而言，HTTPS已是基础设施：浏览器地址栏的锁形图标、API接口的强制安全连接、以及定期的证书过期告警。但若被问及以下核心问题，你的答案是否精准？

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

HTTPS、SSL、TLS 到底是什么关系？

常见的模糊回答包括：“SSL就是HTTPS吧？”、“TLS是SSL的升级版？”或“HTTPS不就是HTTP加了个密吗？”。

这些说法虽触及表面，但均不够严谨。事实上，HTTPS、SSL、TLS是三个不同层级、各司其职的技术概念。它们协同工作，但绝不相互等同。清晰界定这三者的关系，能让你对网络安全、数字证书及服务端架构的理解立刻跃升一个维度。

接下来，我们将彻底厘清这个问题。

图片

一图先立概念

SSL / TLS 是“加密协议”，HTTPS 是“应用协议”。

可以这样理解：SSL/TLS协议负责底层的所有安全重活——定义加密算法、执行身份验证、确保数据防篡改。而HTTPS则负责规定如何以HTTP的方式传输数据，并强制要求这些数据必须经由SSL/TLS构建的安全隧道传输。

换言之，一个关键的技术事实是：

HTTPS 本身不加密，它只是“借用了” SSL / TLS 的能力

SSL 是什么？它当年解决了什么问题？

SSL 的诞生背景

时间回溯到1995年，网景公司推出了SSL协议。在早期互联网中，HTTP通信存在三个致命缺陷：所有数据明文传输，用户凭证如同在网络中裸奔；无法验证通信对端的真实身份，中间人攻击极易得逞；传输中的数据可能被无声篡改。

SSL的诞生，目标直指这三个痛点：实现通信的保密性、身份可信性与数据完整性。

SSL 解决的三大安全核心

SSL的设计哲学始终围绕三个核心安全目标展开：

① 保密性（Confidentiality）

对传输载荷进行加密。即使数据包在传输链路上被截获，攻击者看到的也只是无法解读的密文。

② 身份认证（Authentication）

通过PKI体系下的数字证书验证服务器身份。这类似于核验对方的官方数字身份证，有效防御钓鱼网站仿冒。

③ 数据完整性（Integrity）

通过消息认证码等密码学机制，确保数据在传输过程中未被篡改。任何非法修改都会被通信双方检测到。

SSL 到底加密了哪些内容？

在SSL/TLS安全通道内，所有HTTP协议承载的载荷均被保护，包括但不限于：用户提交的登录凭证与密码、浏览器中的Cookie和Session标识、表单提交的所有字段数据、API请求与响应的参数及结果、以及服务器返回的任何敏感业务信息。

为什么现在几乎不再提 SSL？

原因很明确：早期的SSL协议（如SSL 2.0和3.0）已被证实存在严重的设计缺陷和安全漏洞，不再被视为安全。因此，现代浏览器与行业标准已全面禁用这些陈旧协议。虽然“SSL”这一术语的精神得以传承，但协议本身已正式退出历史舞台。

TLS 是谁？它和 SSL 是什么关系？

TLS 的真实身份

TLS 是 SSL 的最新继任者，而不是一个全新的东西

你可以将TLS视为SSL的现代化工业级升级。TLS 1.0的内部版本号即为SSL 3.1，这清晰地表明了其继承关系。它并非另起炉灶，而是在SSL的设计框架上，对密码学套件、握手流程和安全性进行了全面强化与更新。

TLS 相比 SSL，改进了什么？

简而言之，TLS主要在三个方面实现了重大改进：采用了更强、更灵活的加密算法与哈希函数；优化了握手协议以提升性能并减少安全暴露面；剔除了已知存在弱点的加密套件。因此，当今互联网实际服役的安全协议是TLS 1.2及更高效、安全的TLS 1.3。

为什么我们还经常说“SSL 证书”？

这主要源于历史习惯与行业约定俗成。尽管底层协议已升级为TLS，但业界仍普遍将用于TLS握手的X.509数字证书称为“SSL证书”。这类似于人们仍将光纤入户服务称为“装宽带”，是一种技术沿革下的术语延续。

HTTPS 到底是什么？它干了哪部分活？

HTTPS 的本质定义

HTTPS = HTTP + SSL/TLS 安全层

这个“+”号是技术架构的关键。HTTPS本身并不发明新的密码学算法，其核心职责是：在应用层（HTTP）与传输层（TCP）之间强制插入一个TLS安全层，并规定所有HTTP通信必须经过此层处理，从而获得安全保障。

HTTP 和 HTTPS 的核心差异

最根本的差异就在于“S”所代表的安全层。HTTP数据直接在TCP连接上以明文形式传输，而HTTPS的数据在发送前会先经过TLS层的加密、认证与完整性封装，再通过TCP套接字传输。

HTTPS 请求真实发生了什么？

一个简化的HTTPS请求流程如下：浏览器向服务器发起HTTPS连接请求；服务器返回其数字证书链；浏览器验证证书的合法性（包括签发机构可信性、有效期、域名匹配等）；验证通过后，双方通过密钥交换算法协商出对称会话密钥；至此，TLS安全隧道建立完成。此后，所有HTTP协议的应用数据都在此加密隧道中传输。可见，真正执行加密、身份验证、密钥交换这些核心安全操作的，是TLS协议。HTTPS更多扮演了“协议调度者”与“安全规则执行者”的角色。

一次完整 HTTPS 通信，TLS 做了哪些事？

TLS 握手阶段核心步骤

TLS握手是建立安全通道的关键，其核心步骤包括：客户端发送“ClientHello”消息，声明支持的TLS版本、密码套件列表及随机数；服务器回应“ServerHello”消息，选定双方都将使用的密码套件，并附上自己的数字证书；客户端验证服务器证书，并使用证书公钥加密一个预主密钥发送给服务器；双方利用预主密钥与交换的随机数，独立计算出相同的会话主密钥。握手完成后，双方将使用这个高效的对称会话密钥加密所有后续应用层数据。非对称加密仅在初始握手阶段用于安全地交换该对称密钥。

代码实战：Spring Boot 启用 HTTPS（优化版）

目录结构示例

/opt/app/
├── cert/
│   └── server.p12
├── config/
│   └── application.yml
└── app.jar

application.yml 配置

server:
  port: 8443
  ssl:
    enabled: true
    key-store: file:/opt/app/cert/server.p12
    key-store-type: PKCS12
    key-store-password: changeit
    key-alias: icoderoad

Spring Boot 启动类包名规范

package com.icoderoad.https;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class HttpsApplication {
    public static void main(String[] args) {
        SpringApplication.run(HttpsApplication.class, args);
    }
}

强制 HTTP 跳转 HTTPS

package com.icoderoad.https.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;

@Configuration
public class HttpsRedirectConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .requiresChannel(channel ->
                channel.anyRequest().requiresSecure()
            );
        return http.build();
    }
}