Можно прочитать про TLS Handshake/асимметричное шифрование и как он помогает избежать man in the middle атак. Если кратко, по сети ходят только публичные ключи, с помощью которых информация кодируется, декодировать же её может только владелец приватного ключа. А легитимность полученного приватного ключа мы проверяет через специальные центры подтверждающие соответствие сертификата полученного от сервера и домена с которого этот сертификат получен. Затем, уже в рамках TLS подключения происходит обмен сообщениями которые содержат высокоуровневые объекты сессии(JWT токены, куки и прочая фигня).