SSL/TLS 协议采用混合加密机制：通过非对称加密验证身份，通过对称加密传输数据。

一、证书签发与验证（信任链构建）
1、生成请求：服务器生成密钥对（RSA 2048 位或 ECC 256 位），将公钥及组织信息封装为 CSR（证书签名请求）。
2、CA 签名：CA 验证域名所有权后，从 CSR 中提取公钥和申请者信息，结合颁发者信息、有效期及扩展字段构造证书内容，使用 CA 私钥进行数字签名，生成符合 X.509 标准的证书。
3、信任传递：浏览器通过预置的根证书逐级验证服务器证书签名，建立信任链。

二、加密会话建立（TLS 握手）
1、握手启动：客户端发送 ClientHello 消息，包含支持的协议版本和密码套件列表。
2、证书传递：服务器响应 ServerHello 消息并发送证书链。
3、身份验证：客户端验证证书的有效期和域名匹配性，并通过 CRL（证书吊销列表）或 OCSP（在线证书状态协议）确认证书未被吊销。部分部署采用 OCSP Stapling 技术优化此过程。
4、密钥交换：双方通过密钥交换机制生成会话密钥。
5、ECDHE 模式（推荐）：双方各自生成临时密钥对并交换公钥，独立计算出相同的会话密钥。
6、RSA 模式（传统）：客户端生成预主密钥，使用服务器公钥加密后传输；服务器解密后，双方派生会话密钥。
7、对称通信：握手完成后，所有数据使用会话密钥进行对称加密传输。

来源声明：以上内容部分(包含图片、文字)来源于网络，如有侵权，请及时与本站联系（400-0510-860）。