面试题简述

我们平时开发时经常看到 HTTP 和 HTTPS，那你能说说它们之间的区别吗？

为什么我们要用 HTTPS？它到底比 HTTP 多了什么？

面试官想听的

1、HTTPS 如何在 HTTP 基础上增加安全保障

2、是否理解加密、认证、完整性的区别；

3、能否举例说明浏览器访问网站时两者的不同

面试回答举例

HTTP 和 HTTPS 本质上都是应用层协议，用于浏览器与服务器之间传输数据。

两者的区别在于：HTTP 是明文传输，而 HTTPS 在传输层加入了 SSL/TLS 加密层，实现了数据的加密、身份认证和完整性校验。

举个例子：

当我们访问 http://example.com 时，所有请求与响应的数据都是明文的，抓包就能看到用户名、密码等敏感信息。

而访问 https://example.com 时，会先建立一层安全的加密通道，之后所有通信内容都被加密，即使被截获也无法读懂。

从实现上看，HTTPS = HTTP + SSL/TLS + 数字证书。所以 HTTPS 的优点主要有：

1、数据加密：防止中间人窃听。

2、身份认证：确保服务器真实可信（通过 CA 证书验证）。

3、数据完整性：防止传输过程中数据被篡改。

当然，它也有成本：需要购买证书、建立连接开销更大、加密计算耗时更多。但在当下的网络环境下，HTTPS 已经成为默认标准，比如 Chrome 会标注 HTTP 为不安全。

由浅入深分析

1、HTTP 不安全的本质：明文 + 无认证 + 无完整性校验。

2、HTTPS 的核心改进：在 TCP 之上加了一层 SSL/TLS 安全层。

3、TLS 作用：通过对称加密保证传输安全，通过非对称加密分发密钥，通过证书机制防止被伪造。

4、性能优化：HTTP/2 和 TLS Session Resume 减少握手开销。

5、应用层意义：HTTPS 不仅是加密，更是信任体系的一部分。

面试加分点

1、能明确指出 HTTPS 工作在传输层。

2、提到 TLS 握手、CA 证书、对称加密 + 非对称加密混合使用的概念且逻辑清晰。

3、提到 HTTPS 的目标是三件事：机密性、完整性、身份认证，将会是大大加分项。