这个标题本身就很“架构级”,也是安全 / 后端 / 面试必考内容。
我会按 为什么需要 → TLS 在解决什么 → 工作流程 → 核心技术 → 常见误区 → 面试总结,带你系统搞懂 SSL/TLS。
现代互联网安全的基石:SSL/TLS 技术介绍
一、为什么需要 SSL / TLS?
没有加密的互联网会发生什么?
- 明文传输
- 密码、Cookie 可被抓包
- 数据可被篡改
- 服务器身份无法确认
👉 HTTP = 裸奔协议
二、SSL 和 TLS 是什么关系?
- SSL(Secure Sockets Layer)是早期协议
- TLS(Transport Layer Security)是 SSL 的继任者
📌 实际使用中:
现在说 SSL,技术上几乎都指 TLS
常见版本:
- TLS 1.2(仍大量使用)
- TLS 1.3(主流 & 推荐)
三、TLS 解决了哪三大安全问题?
1️⃣ 机密性(加密)
- 防止被窃听
2️⃣ 完整性(防篡改)
- MAC / AEAD 校验
3️⃣ 身份认证(防假冒)
- 证书 + CA
四、TLS 的核心思想:非对称 + 对称
| 算法 | 作用 | 特点 |
|---|---|---|
| 非对称加密 | 身份认证 / 密钥交换 | 慢 |
| 对称加密 | 数据传输 | 快 |
👉 非对称负责“见面”,对称负责“聊天”
五、TLS 握手流程(重点)
1️⃣ TLS 1.2(简化)
- ClientHello
- 支持的加密套件、随机数
- ServerHello
- 选择套件、证书、公钥
- 客户端验证证书
- 客户端生成 Pre-Master Secret
- 双方生成 Session Key
- 使用对称加密通信
2️⃣ TLS 1.3(对比)
- 握手减少到 1-RTT
- 默认使用 ECDHE
- 移除不安全算法(RSA 握手、SHA1)
👉 更快、更安全
六、数字证书是怎么工作的?
证书里有什么?
- 域名
- 公钥
- CA 签名
- 有效期
验证流程
- 浏览器内置 CA 公钥
- 校验证书签名
- 验证域名匹配
- 检查有效期 / 吊销状态
七、HTTPS = HTTP + TLS
HTTP
↓
TLS
↓
TCP
↓
IP
📌 HTTPS 默认端口:443
八、常见攻击 & TLS 如何防御
| 攻击 | TLS 防御 |
|---|---|
| 窃听 | 加密 |
| 中间人 | 证书链 |
| 篡改 | MAC / AEAD |
| 重放 | 随机数 / 序列号 |
九、常见误区(高频)
❌ 1. HTTPS 很慢
现代 TLS 1.3 几乎可忽略
❌ 2. HTTPS 就 100% 安全
应用层漏洞照样被打
❌ 3. 自签名证书也安全
加密安全,但不可信
十、面试一句话标准答案
SSL/TLS 通过非对称加密完成身份认证和密钥交换,再使用对称加密进行数据传输,解决了通信的机密性、完整性和身份认证问题,是 HTTPS 的核心安全机制。
十一、工程实践建议
- 强制 HTTPS
- 使用 TLS 1.3
- 禁用弱加密套件
- 开启 HSTS
- 证书自动化(Let’s Encrypt)
十二、终极总结
TLS 不是让你“不被攻击”,而是让攻击者“即使抓到数据也没用”。
如果你愿意,我可以继续深入:
- 🔥 TLS 1.2 vs 1.3 全流程对比
- 🔥 HTTPS 抓包原理分析
- 🔥 证书链 & CA 信任模型
- 🔥 面试 TLS 追问清单
你是 后端 / 安全 / 架构方向,还是 准备面试?
