用了HTTPS，没想到还是被监控了 _HTTPS

上周，微信里有个小伙伴儿给我发来了消息：

文章插图

文章插图

随后，我让他截了一个完整的图，我一瞅，是HTTPS啊！没用HTTP！再一瞅，是www.baidu.com啊，不是什么山寨网站！
我瞬间明白了些什么，让他点击了一下浏览器地址栏中那个表示安全的小锁标志，查看了一下网站使用的HTTPS证书。

文章插图

果然不出我之所料，证书不是官方的，官方的证书长这样：

文章插图

而那个假的证书是他们公司签发的，看来，他们公司开始对HTTPS流量做解析了，这家伙瞬间瑟瑟发抖···

文章插图

今天就来跟大家聊一下：HTTPS真的安全吗？
现如今大家每天上网基本上看到的都是使用了HTTPS的网站，有时候特意想找一个HTTP的网站来让新同学练习抓包分析都不好找。
但在几年前，差不多我刚刚开始毕业工作（2014年）的时候，情况却不是这样的，网络上还有大量使用HTTP的网站。
大家知道，HTTP是超文本传输协议，数据内容在网络中都是明文传输的，非常不安全。同在一个宿舍里的同学，随便搞一个中间人劫持就能监听到你浏览了什么视频学习网站。
不仅如此，上网链路中包括寝室路由器在内的各级网络设备都可以探知你的数据，甚至给你插入小广告（其实这种现象现在依然存在，尤其是很多医院、学校的网站，还是很多都是用HTTP，特别容易粘上小广告），一不小心就跳到了广告页面，真是防不胜防。
不久，网站HTTPS化的浪潮很快打来，通过加密这一最简单直接的办法，将浏览器上网过程中传输的数据进行加密保护，上网内容的安全性得到了极大的提升。
关于HTTPS的工作原理，咱们通过下面的快问快答环节来简单总结一下。

文章插图

文章插图

看到了吧，HTTPS能够安全的基石是非对称加密，非对称加密建立的前提是对方真的是对方，如果这一个前提不成立，后面的一切都是假的！
网站服务器使用HTTPS进行通信时，会提供一个用于证明身份的证书，这个证书，将会由某个受信任的机构签发。
浏览器拿到这个证书后，会校验证书的合法性，去检查证书的签发机构是不是受信任的。
那如何去检查签发机构是不是受信任的呢？
答案是继续检查签发机构的证书，看看是谁给他签发的，一直这样追溯，直到找到最终的签发者，看看最终的签发者的证书是不是安装在操作系统的受信任的根证书列表中。

文章插图

是不是已经晕了？没关系，我们来用百度的那个证书为例，看一下这个过程，你就知道什么意思了。
你可以通过点击证书路径tab页面查看证书的签发链条：

文章插图

通过这个树形结构图，可以清晰地看到：
baidu.com这个域名使用的证书，是由名为GlobalSign Organization Validation CA - SHA256 - G2的颁发者签发的。
而这个颁发者的证书，又是由GlobalSign Root CA - R1签发的。
浏览器拿到这个最顶层的签发证书后，去操作系统安装的受信任的根证书列表中一找，嘿，还真让它找着了！