上周，微信里有個小伙伴兒給我發來了消息：

隨后，我讓他截了一個完整的圖，我一瞅，是HTTPS啊！沒用HTTP！再一瞅，是www.baidu.com啊，不是什么山寨網站！

我瞬間明白了些什么，讓他點擊了一下瀏覽器地址欄中那個表示安全的小鎖標志，查看了一下網站使用的HTTPS證書。

果然不出我之所料，證書不是官方的，官方的證書長這樣：

而那個假的證書是他們公司簽發的，看來，他們公司開始對HTTPS流量做解析了，這家伙瞬間瑟瑟發抖···

今天就來跟大家聊一下：HTTPS真的安全嗎？

現如今大家每天上網基本上看到的都是使用了HTTPS的網站，有時候特意想找一個HTTP的網站來讓新同學練習抓包分析都不好找。

但在幾年前，差不多我剛剛開始畢業工作（2014年）的時候，情況卻不是這樣的，網絡上還有大量使用HTTP的網站。

大家知道，HTTP是超文本傳輸協議，數據內容在網絡中都是明文傳輸的，非常不安全。同在一個宿舍里的同學，隨便搞一個中間人劫持就能監聽到你瀏覽了什么視頻學習網站。

不僅如此，上網鏈路中包括寢室路由器在內的各級網絡設備都可以探知你的數據，甚至給你插入小廣告（其實這種現象現在依然存在，尤其是很多醫院、學校的網站，還是很多都是用HTTP，特別容易粘上小廣告），一不小心就跳到了廣告頁面，真是防不勝防。

不久，網站HTTPS化的浪潮很快打來，通過加密這一最簡單直接的辦法，將瀏覽器上網過程中傳輸的數據進行加密保護，上網內容的安全性得到了極大的提升。

咱們通過下面的快問快答環節來簡單總結一下。

HTTPS為什么安全呢？

因為數據加密了啊~

那數據加密的秘鑰怎么來的？

是雙方通過相同的隨機數計算出來的。

那隨機數怎么傳輸的？

使用非對稱加密傳輸的，瀏覽器使用服務器提供的公鑰加密，只有服務器使用自己的私鑰才能解開，別人解不開。

你怎么知道那是服務器的公鑰，萬一是別人的，中間人攻擊呢？

有證書來證明服務器身份

證書萬一是假的呢？

不可能，假的證書不是受信任的機構簽發的，瀏覽器會驗證通不過。

那瀏覽器怎么知道證書的簽發機構是不是受信任的？

因為受信任機構的根證書安裝到了系統中，你總得相信微軟吧！

要是假的根證書被安裝進了系統咋辦？

看到了吧，HTTPS能夠安全的基石是非對稱加密，非對稱加密建立的前提是對方真的是對方，如果這一個前提不成立，后面的一切都是假的！

網站服務器使用HTTPS進行通信時，會提供一個用于證明身份的證書，這個證書，將會由某個受信任的機構簽發。

瀏覽器拿到這個證書后，會校驗證書的合法性，去檢查證書的簽發機構是不是受信任的。

那如何去檢查簽發機構是不是受信任的呢？

答案是繼續檢查簽發機構的證書，看看是誰給他簽發的，一直這樣追溯，直到找到最終的簽發者，看看最終的簽發者的證書是不是安裝在操作系統的受信任的根證書列表中。

是不是已經暈了？沒關系，我們來用百度的那個證書為例，看一下這個過程，你就知道什么意思了。

你可以通過點擊證書路徑tab頁面查看證書的簽發鏈條：

通過這個樹形結構圖，可以清晰地看到：

baidu.com這個域名使用的證書，是由名為GlobalSign Organization Validation CA - SHA256 - G2的頒發者簽發的。

而這個頒發者的證書，又是由GlobalSign Root CA - R1簽發的。

瀏覽器拿到這個最頂層的簽發證書后，去操作系統安裝的受信任的根證書列表中一找，嘿，還真讓它找著了！

于是，瀏覽器信任了這個證書，繼續接下來的通信過程。

如果找不到，瀏覽器就會彈出不受信任的消息，提醒用戶要當心了！

而如果，有人在你的電腦中安裝了一個自己的根證書進去，騙過瀏覽器，這一切安全的根基也就傾覆了。

而文章開頭那個小伙伴兒之所以彈出了那個窗口，多半是根證書還沒安裝進去，就開始了HTTPS劫持。因為重啟之后，便再也沒有這些提示信息，一切如往常一樣風平浪靜，只不過上網的流量已經被公司悉數掌握。

看到這里，還不趕緊點開瀏覽器地址欄的那把鎖，看看證書的簽發機構是不是你們公司？

如果是，那恭喜你了~

最后，給大家留一個思考題：微信會受到這種HTTPS劫持的影響嗎？ 歡迎在評論區發表你的看法！

有道無術，術可成；有術無道，止于術

歡迎大家關注Java之道公眾號

好文章，我在看??

新人創作打卡挑戰賽發博客就能抽獎！定制產品紅包拿不停！

總結

以上是生活随笔為你收集整理的用了HTTPS，没想到还是被监控了！的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。