crazy

歌唱祖国，以下内容不代表本人任何观点。

因为某些原因 ，大家现在都有所了解https，大家都知道，https的传输内容，不能在传输过程被监听到，因为内容已经加密，监听到的都是密文的内容。
也是由于此，很多证书颁发机构，还提供保险理赔服务，承诺由他们颁发的证书，如果被人破解的话，他们会赔偿一定的金额。
由此可见，目前的https，除非你有解密的key，否则还是无法在传输过程被监听到的。

如果你想监听到https传输的具体内容，根据我的估计，大约有以下几种办法：
1.想办法获取对方证书对应的key来进行解密。
2.搞定对方证书颁发机构，让他们来提供解密算法。
3.挟持，因为传输过程是加密的，所以我就伪装成服务器端，客户的文本直接发送给我了。这中间的过程应该很复杂，因为我要伪装成服务器端的话，首先我得挟持了网络流量，第二是我需要一个跟服务器端域名对应的证书，当然这个证书可以是任何一个机构颁发的有效证书，因为客户基本不会主动去检查证书的。
有了流量和证书之后，我首先伪装成服务器接收来自客户端的信息，解密之后，获取我想要的信息，为了做得天衣无缝，我还得把请求发送给真正的服务器，然后再把真正的服务器返回的内容又返回给用户，相当于做一个中间人，实际上有点像CDN，但是这个比CDN复杂很多，因为CDN仅仅转发流量，这个需要加密解密客户端和服务器端的内容然后再发送。 理论上可行，实际应有中是否有这样做的，我不知道。

bestmoban

有个问题我一直没想明白
HTTPS加密，但是客户访问却不需要导入专属证书，如何确保安全的呢，最多说分段传输时是加密的而已。
如果中间设备伪造成客户端浏览器，是不是就可以解密了呢？

collbird

https还是较为安全的

俩技术员

Akvii

就是监控PC啊，费力再传输过程中监听，不如直接在两端，发送之前或者和接收之后更容易吧，我觉得发送之前应该是最容易的。

鱼羊小子

有受信任的根证书就方便了

鱼羊小子

或者找到生成受信任的域名证书渠道

ovita

有受信任的根证书就方便了

漆黑风景

很简单啊,cnnic还是谁就干过这事.颁发"假"的真证书.名正言顺的劫持.

bestmoban 发表于 2017-9-13 23:33
有个问题我一直没想明白
HTTPS加密，但是客户访问却不需要导入专属证书，如何确保安全的呢，最多说分段传 ...

你可能不了解ssl协议.是先生成一个加密密码,然后通过公钥加密这个密码,服务器收到加密后的密码后用私钥解密,后面就全部用这个密码加密解密了.

其实我感觉现在家用计算机的能力太弱,官方解密2048位的秘钥应该很简单.