当用户在客户机的网页浏览器地址上输入要访问的地址然后按回车键,浏览器会通过DNS域名解析服务器,解析域名为公网IP地址(而不是192.168.1.1这种内网ip),然后通过IP地址联系到远端的Web服务器,中间会途经运营商机房里的路由器和交换式等设备,客户机浏览器会把客户机的数字证书和公钥发给Web服务器,Web服务器同时也会把自己的服务器的数字证书和公钥发给客户机的浏览器。
客户机浏览器通过发送过来的数字证书可以判断远端的Web服务器是不是自己需要访问的服务器,CA可以证明。Web服务器也会通过客户端发来的数字证书来辨别客户端的身份是否合法。
当双方都确认的对方的身份之后,客户端会利用Web服务器的公钥加密一些协商语句,发送给Web服务器。Web服务器收到信息后,利用自己的私钥解密发送来的信息,在使用浏览器的公钥加密要传送的确认信息,传送给浏览器,浏览器接收到传送来的密文后,用自己的私钥解密信息。双方协商结束。
接下来,客户端的浏览器使用协商来的加密密钥和相应的算法加密数据传输给Web服务器,Web服务器也使用相同的密钥和算法来解密,他们之间可以通过SSL来通信,双方通信用的是对称加密技术,这样速度更快。双方协商用的是非对称加密技术,这样安全性更高!
此外SSL的web访问不会在用户端或者路由器端被破解,相对是十分安全的访问模式,所以才得到大力推崇。