面试鸭Java后端面试题, HTTPS 的加密过程了解吗?

Step 1

Q:: HTTPS 的加密过程了解吗？

A:: HTTPS（Hypertext Transfer Protocol Secure）是基于HTTP协议进行通信，并通过SSL/TLS协议进行加密。HTTPS的加密过程大致如下：1. 客户端向服务器发送请求，服务器响应并发送证书；2. 客户端验证服务器证书的有效性；3. 若证书有效，客户端生成一个随机的对称密钥，并使用服务器的公钥加密该密钥；4. 服务器使用自己的私钥解密对称密钥；5. 之后的通信使用对称密钥进行加密传输。这种方式结合了对称加密和非对称加密的优点，既保证了安全性，又提高了效率。

Step 2

Q:: 什么是SSL/TLS？

A:: SSL（Secure Sockets Layer）和TLS（Transport Layer Security）是用于在两个通信应用程序之间提供安全性的协议。它们提供数据加密、服务器认证、消息完整性和客户端认证功能。SSL是TLS的前身，目前使用的基本都是TLS协议。TLS通过一系列加密算法和协议来保护数据的传输安全。

Step 3

Q:: 如何验证HTTPS证书的有效性？

A:: 验证HTTPS证书的有效性主要包括以下几个步骤：1. 检查证书是否在有效期内；2. 验证证书的签发机构是否可信；3. 确认证书的域名是否与访问的域名匹配；4. 检查证书是否被吊销。可以通过浏览器或特定的工具来完成这些验证。

Step 4

Q:: HTTPS如何防止中间人攻击？

A:: HTTPS通过SSL/TLS协议提供数据加密和完整性保护，防止数据在传输过程中被窃听和篡改。具体措施包括：1. 证书验证，确保客户端与服务器的身份真实性；2. 公私钥加密，防止中间人解密数据；3. 会话密钥协商，每次会话生成唯一的对称密钥，防止重放攻击。