https到底把什么加密了?

正常的HTTP请求：

HTTPS请求：

怎么做到的呢？

其实就是用「对称加密」把上面的HTTP请求给加密了。

那对方收到这一堆乱七八糟的怎么知道原来的请求是什么呢？

那就要求双方加密解密的方式和密钥是一样的了。

怎么确保「双方加密解密的方式」和「密钥」是一样的呢？和就是是https最核心的地方了。

我们可以先想想在现实生活中，当你有什么大事必须出门找一个第三方给你办的时候，比如你想买个房子，或者买辆车，请个保姆，怎么确认确认给你提供服务的第三方是正规的呢？是不是得让他给你看看他们的营业执照、经营与可证、销售许可证，最后还要去政府网站上去查下这些证是不是真的呀！在这个过程中，我们是不是要先信任一个有绝对公信力的第三方，既「国家政府」啊！

HTTPS也是这样，一个在个人电脑用户，和一个web网站，双方要建立可信的信息交换服务，也必要引入一个绝对可信的第三方机构，这个第三方机构会给每个个人PC里放一个证书，web网站要想提供https服务，也要找这个第三方机构申请一个只属于这个网站自己的证书。

剩下的就好办了，无非就是大家都基于这个证书，在发起信息交换服务的时候，生成一个临时的证书，就好像你每次去银行办卡，都要设置一个只属于自己的密码一样。

具体过程呢，你可以想想一下，小时候和小伙伴玩的那种对暗号的游戏，每次你先敲门（发出一个建立https服务的请求），对方发出一个”天王盖地府“（给你一个公钥），你拿着这个「天王盖地府」在你的小本本上查了下，这确实是一个可信的暗号，对方不是坏人，然后你根据这个「天王盖地府」回复了一个「不点赞就是王八蛋 135 257」，对方再拿出一本「不点赞就是王八蛋」的小说，找到第1页第三行的第5个字和第2页第5行的第7个字，这就是你要传递的信息了。然后对方会继续告诉你一些暗语加数字，当天都是根据「不点赞就是王八蛋」的这个小说来加密信息的。

怎么样，是不是很安全，就算旁边真的有个坏蛋全程监听，也没啥用，根本听不懂啊。