一日,一位美丽说话温柔的女生来公司,我跑过去开门,她问我白总在吗?
在交流一番后,她说她是来应聘拨号vps的客服,叫小冉。
这么漂亮的姐姐,我超喜欢。(谁不喜欢美女呢)
因为面试的地方就在我后面,可以听得见声音。
我猜想小姐姐来之前肯定看了一本书……
白总:HTTPS它的认证加密过程是怎样,怎么确保内容不会被随意更改?你来之前我有跟你提过,看一下相关知识的哦。(我内心黑人问哈哦啊,这玩意儿不是专业人士,回答不了吧。)
小冉:HTTPS是基于tcp协议的,将客户端和服务端建立连接。服务端检查后,会把安全证书返回给客户端,证书里面包括公钥S.pub、颁发机构和有效期等信息。拿到的证书可以通过浏览器内置的根证书(内含C.pub)验证其合法性。客户端会随机生成加密秘钥,通过服务端的公钥发给服务端;客户端和服务端通过对称秘钥加密数据进行HTTP通信。
我:恩???这么强?
白总:如何保证签发的证书是安全有效的?
小冉:服务器会自动成非对称加密密钥,私钥自己保留;而公钥则发给CA机构进行签名认证(即电子认证服务);CA同时也会生成一组对称加密密钥,其私钥用来对服务器的公钥进行签名生成CA证书;服务器会收到CA机构签名生成的CA证书,也就是刚才服务端给客户端那个证书;由于CA(证书颁发机构)比较权威,所以很多浏览器会内置包含它公钥的证书,称之为根证书。可以根据根证书来验证颁发证书是否合法。
我:很强。
白总:如果发生无限套娃的情况,根证书都被篡改了怎么办?
小冉:无能为力。需要保证CA证书准确无误,不手动强制修改本地根证书其实也没事,因为不经过原有根证书认证的证书是无法自动被加入根证书。
我:为什么什么都知道?
白总:你讲得有些快,画个图看看
小冉:HTTPS加密过程(这是后面小冉走了我进去收拾办公室看到的,小冉好像是用wrod做的,我拍的)
我:……(好细心一美女姐姐)
我:我是个工具人吧……
白总:你怎么看CA机构会用密钥对服务器的公钥进行签名,签名和加密?
小冉:使用非对称加密算法时,签名是用来表示使用私钥的加密过程;加密是公钥对数据加密,反之签名是私钥对数据加密。
我:太难了,真的。
白总:啥是CA证书?
小冉:不用修改的,可以保证服务端的公钥准确无误;通常包括:服务端的公钥; 证书发行者(CA)对证书的数字签名;证书所用的签名算法; 证书发布机构、有效期、所有者的信息等其他信息
我:..
白总:你了解哪些加密算法?
小冉:单向加密,对称加密算法和非对称加密算法
我:听我的,以后一定要好好了解IDC。
白总:对称加密和非对称加密两者一样吗?
小冉:使用对称加密时,加密和解密用的都是同一个密钥;而非对称加密,则是两个密钥,公钥加密则需要私钥解密,私钥加密则需要公钥解密。平时不能随便私钥加密,私钥解密。
我:学到了。
白总:MD5、SHA、Base64和RSA属于什么类型的算法,对称还是非对称?
小冉:MD5、SHA,称为摘要算法,可以归类为单向加密算法,其计算出的摘要信息,是不可逆向恢复成原来的数据;RSA属于非对称加密算法;而Base64并不算是加密算法,它更多时候是被称为一种数据编码方式。
我:应该不会再问什么了吧……
白总:你用过HTTP客户端工具类吗?
小冉:spring clould体系里的ribbon、feign
我:幸亏当时没问我这些,这都啥啊
白总:你有遇到过HTTPS证书的使用问题吗?
小冉:当然,有一次使用apache-httpClient加载自定义证书时(没经过CA认证),测试服抛出证书无法信任,但我本地可以运行;后面发现是证书在本地生成的,那时已经默认加入到根证书下了,而测试服jre的根证书目录(/lib/security/cacerts)是没有这个证书,放在项目resource下的证书也无法没生效。
我:好专业好强,好像考试……
白总:哦,你是怎么做到恢复使用的?
小冉:1-重写TrustManager,无条件信任证书;2-把证书加到jre的根证书目录;3-通过CA认证;
我:应该结束了吧……
白总:那你应该知道网络数据抓包吧?
小冉:看是什么系统把,一是linux系统,使用tcpdump命令对tcp请求数据抓包,抓到的数据输出到一个文件;抓完之后,切换到window使用wireshark软件加载tcp数据文件,看一下它提供的界面分析。
我:这不是网站管理员操心的吗……
白总:我觉得跟你很聊得来。你也没有做过mysql事务啊……
小冉:可以啊,我有了解过相关知识……毕竟我只是是干网盾攻城狮的……
我:我要下班了,你们聊吧……(后面小冉出现在了我最向往的位置,窗边。而且是老大办公室对面!)
