如果沒有有效的證書，HTTPS連接是否加密的？

琴梨梨OvO

已是蘇堤春曉 多怕你看不到 筆墨沾雨 折一枝 桃花隨信送到

只要有證書，不管證書是否有效，都是加密的，無法被中間人讀取的

但加密只是服務(wù)端到客戶端的雙向傳輸保證沒有中間人可以讀取和篡改，加密本身不能保證來源的權(quán)威性

例如一個(gè)假冒的服務(wù)器利用dns污染讓你的https請(qǐng)求發(fā)送給它，那么此時(shí)你和假冒的服務(wù)器之間的連接仍然是加密的，不可被截獲的

這時(shí)候可能就有人要問了，fiddler之類的抓包軟件是如何獲取https數(shù)據(jù)包的

其實(shí)原理也很簡單，fiddler

并沒有作為中間人身份去讀取數(shù)據(jù)包，而是直接扮演了一個(gè)客戶端+服務(wù)端的身份

服務(wù)器在和fiddler所扮演的客戶端通信，而不是直接和你的客戶端，然后fiddler自身又扮演一個(gè)服務(wù)器用自己的證書加密和你的客戶端通信，兩段https通信都是加密的

發(fā)布于 2023-08-12 10:56