1. پروتکل HTTPS (Hypertext Transfer Protocol Secure ) یک پروتکل بست یافته از پروتکل HTTP (Hypertext Transfer Protocol) است. HTTPS کدهای رمزگذاری شده را با استفاده از TSL(Transport Layer Security) انتقال میدهد. به این صورت که اگر دیتا در حین انتقال توسط هکرها دزدیده شود تنها چیزی که هکرها بدست می آورند دیتای باینری است.

نحوه Encrypt و Decrypt کردن دیتا در HTTPS:

1.  TCP Handshake: کلاینت (مرورگر) و سرور یک TCP Connection برقرار میکنند.
2. Certificate check: کلاینت یک “Client hello”به سرور ارسال می کند. این پیام حاوی مجموعه ای از الگوریتم های Encrypt شده و آخرین ورژن TLS است. سرور نیز با یک “Server Hello” پاسخ می دهد و به کلاینت اعلام می کند که میتواند الگوریتم ها و ورژن TLS را ساپورت کند یا خیر؟ سپس سرور گواهی SSL را برای کلاینت ارسال میکند. این گواهی شامل کلیدهای عمومی، نام هاست، تاریخ انقضا و غیره است. کلاینت نیز در انتها گواهی را تایید میکند.
3. پس از تایید اعتبار گواهی SSL کلاینت یک Session Key  تولید میکند و آن را با استفاده از کلید عمومی رمزگذاری میکند. سرور نیز Session kery رمزگذاری شده را دریافت میکند و آن را با کلید خصوصی رمزگشایی میکند.
4. حالا که هم سرور و هم کلاینت Session key  مشابه ای رو دارند، دیتای رمزگذاری شده در یک کانل دوطرفه امن منتقل میکند.

چرا HTTPS در زمان انتقال داده به صورت رمزگذاری شده متقارن عمل میکند؟

1- امنیت: رمزگذاری نامتقارن به صورت یک طرفه عمل میکند. این به این معنی است که اگر سرور سعی کند تا داده  های رمزگذاری شده را به کلاینت ارسال کند، همه میتوانند که دیتاها را با استفاده از کلید عمومی رمزگشایی کنند.

2- منابع سرور: رمزگذاری نامتقارن سربار بسیار زیادی برای سرور دارد. که برای انتقال دیتا در Session های طولانی مدت مناسب نیست.