在项目中我们需要调用https接口请求。我们使用httpClient，构建HttpClient对象时涉及到使用HostnameVerifier接口实例。

HostnameVerifier接口定义如下：

1 public abstract interface HostnameVerifier2 {3   public abstract boolean verify(String paramString, SSLSession paramSSLSession);4 }

仅一个方法，参数paramString为请求地址host；参数paramSSLSession是当前请求的SSLSession，可以获取到证书列表，默认实现类DefaultHostnameVerifier的实现如下：

1     @Override 2     public boolean verify(final String host, final SSLSession session) { 3         try { 4             final Certificate[] certs = session.getPeerCertificates(); 5             final X509Certificate x509 = (X509Certificate) certs[0]; 6             verify(host, x509); 7             return true; 8         } catch (final SSLException ex) { 9             if (log.isDebugEnabled()) {10                 log.debug(ex.getMessage(), ex);11             }12             return false;13         }14     }

接口是用于主机名验证，准确说是验证服务器ca证书中的host是否和请求地址host一致，为什么要进行主机名验证呢？其实目的是加强一层安全防护，防止恶意程序利用中间人攻击。

什么是中间人攻击?

假设有一个攻击者处于“浏览器”和“网站服务器”的通讯线路之间（比如公共WIFI），它的攻击过程如下：

1. 服务器向客户端发送公钥。
2. 攻击者截获公钥，保留在自己手上。
   然后攻击者自己生成一个【伪造的】公钥，发给客户端。
3. 客户端收到伪造的公钥后，生成加密hash值发给服务器。
4. 攻击者获得加密hash值，用自己的私钥解密获得真秘钥。
   同时生成假的加密hash值，发给服务器。
5. 服务器用私钥解密获得假秘钥。

FIddler就是通过这种方式截获HTTPS信息。

上面问题的根源是因为“缺乏身份认证机制”，需要验证【伪造的】公钥是否是网站服务器的，我们客户端httpClient可以通过验证公钥中的host，防止被中间人攻击。

参考资料：