TLS和TCP

发布时间:2026/7/1 13:43:01
TLS和TCP HTTPS 不是只用于“浏览器和服务”HTTPS HTTP TLS TCP➡️ 本质是“任何 HTTP 应用 TLS 加密”1. 浏览器 ↔ 服务最常见Chrome / Safari / App 内 WebViewHTTPS 证书校验 TLS2. 服务 ↔ 服务也很常见例如微服务调用A服务 → B服务App 后端 → 支付系统后端 → 第三方 API微信/支付宝/云服务➡️ 也可以用 HTTPS非常常见3. 服务间 HTTPS vs 浏览器 HTTPS浏览器场景重点用户身份信任证书必须被系统信任CA签发会严格校验域名 UI警告服务间通信重点机器身份认证常见做法HTTPS公有 CA 或私有 CAmTLS双向 TLS双方都要证书4. 服务 ↔ 服务常见增强版mTLS普通 HTTPS服务器有证书客户端验证服务器mTLS双向 TLS服务器有证书客户端也有证书双方互相验证身份➡️ 用于微服务金融系统内网高安全通信双方都需要信任同一个体系的CA✔️ ① 持有证书身份客户端有客户端证书服务端有服务端证书✔️ ② 信任CA验证对方客户端信任某些CA用来验服务端证书服务端信任某些CA用来验客户端证书TCP TLSHTTPS核心流程1. TCP 三次握手SYNSYN ACKACK➡️ 建立可靠连接2. TLS 握手认证 密钥协商Client Hello支持的加密算法Client RandomSNI域名Server Hello选定加密算法Server Random证书域名 公钥 CA签名证书验证关键用 CA 公钥验证签名防篡改 证明 CA 签发检查证书域名是否匹配访问域名密钥协商双方用 Random ECDHE 等生成共享密钥➡️ 得到对称加密密钥session key握手结束Finished message开始加密通信3. HTTPS 数据传输HTTP 数据→ TLS对称加密→ TCP 传输→ 对端解密还原 HTTP4. 证书 签名本质证书域名 公钥 CA签名签名CA 用私钥对证书 hash 做签名作用防篡改 证明来源5. 核心一句话TCP连通TLS加密 身份认证证书证明“域名 ↔ 公钥”绑定可信