httpsは(SSLは)、サーバの公開鍵でクライアントが暗号化して送信し、サーバが秘密鍵で復号化する、というものだと思います。ということは、暗号化されるのは、
クライアント→サーバ
のデータだけであって、
サーバ→クライアント
のデータは暗号化されない、ということになるでしょうか?
SSL/TLS で実際の通信内容の暗号化に使うのは、接続時に乱数から生成した共通鍵で、サーバの公開鍵は、クライアント側が生成した鍵情報をサーバへ伝える際に、鍵情報の暗号化で使われます。
Transport Layer Security - Wikipedia
共通鍵は、クライアントとサーバの双方から提供される乱数に基づいて決定される。双方で生成した乱数を組み合わせて使用するため、リプレイ攻撃では同一の共通鍵を得ることはできない。共通鍵は4つセットで生成し、クライアントから送信するデータの暗号化用とサーバから送信するデータの暗号化用にひとつずつ割り当てる(残り2つは後述するハッシュ値の生成に使われる)。
鍵の盗聴を防ぐ仕組みとして、サーバ証明書がRSA暗号を用いて署名されている場合は、クライアントから送る鍵情報の一部をサーバの公開鍵で暗号化することができる。サーバの秘密鍵を知らない部外者は、この情報を復号できない。あるいは(RSA暗号を使っていない場合などは)Diffie-Hellman鍵共有アルゴリズムを使うこともできる。