为什么说 HTTPS 是安全的?
抓包看呗,比如我打开 https://www.bing.com ,然后抓包,它的TCP流解码出来大概是这样的(这是开头,协商部分):
还是能看到一些信息的,起码能猜测出你访问了哪个网站。但是中间传输的绝大多数都是加密的,无从得知。
相比之下,HTTP会话就非常透明:
乱码部分甚至能直接拼成文件,然后再查看。我这里打开的是 dangdang.com ,传输时压缩过了,所以最后显示乱码。
没有绝对的安全,HTTPS的安全的薄弱点有不少,比如证书托管机构是否可靠、加密算法是否牢不可破、加密的协商过程是不是没有漏洞、服务器端的安全加固是否到位、客户端是否安全。
如果证书托管机构是国家级的,那么你在国家面前就没有安全性、隐私可言,就是透明的。即使证书托管机构公平公正、绝对不会泄密,但对于国家机器来说,它只要想破解,用暴力破解还是可以破解的,毕竟,哪个密码能经得起国家级的算力去暴力破解呢。
所以,HTTPS它是用来保障绝大多数人的通信安全,而不是保证通信的绝对安全。
另外,还可以向web缓存厂商打探,也有个别厂商做到了破解HTTPS、缓存其中的静态内容、再回吐给用户。如果用户的客户端深究,还是能发现安全风险的,毕竟加密证书变了,不过,仍然能骗过几个主流浏览器。
