为什么说 HTTPS 是安全的？

抓包看呗，比如我打开 https://www.bing.com ，然后抓包，它的TCP流解码出来大概是这样的（这是开头，协商部分）：

还是能看到一些信息的，起码能猜测出你访问了哪个网站。但是中间传输的绝大多数都是加密的，无从得知。

相比之下，HTTP会话就非常透明：

乱码部分甚至能直接拼成文件，然后再查看。我这里打开的是 dangdang.com ，传输时压缩过了，所以最后显示乱码。

没有绝对的安全，HTTPS的安全的薄弱点有不少，比如证书托管机构是否可靠、加密算法是否牢不可破、加密的协商过程是不是没有漏洞、服务器端的安全加固是否到位、客户端是否安全。

如果证书托管机构是国家级的，那么你在国家面前就没有安全性、隐私可言，就是透明的。即使证书托管机构公平公正、绝对不会泄密，但对于国家机器来说，它只要想破解，用暴力破解还是可以破解的，毕竟，哪个密码能经得起国家级的算力去暴力破解呢。

所以，HTTPS它是用来保障绝大多数人的通信安全，而不是保证通信的绝对安全。

另外，还可以向web缓存厂商打探，也有个别厂商做到了破解HTTPS、缓存其中的静态内容、再回吐给用户。如果用户的客户端深究，还是能发现安全风险的，毕竟加密证书变了，不过，仍然能骗过几个主流浏览器。