如果没有有效的证书，HTTPS连接是否加密的？

琴梨梨OvO

已是苏堤春晓 多怕你看不到 笔墨沾雨 折一枝 桃花随信送到

只要有证书，不管证书是否有效，都是加密的，无法被中间人读取的

但加密只是服务端到客户端的双向传输保证没有中间人可以读取和篡改，加密本身不能保证来源的权威性

例如一个假冒的服务器利用dns污染让你的https请求发送给它，那么此时你和假冒的服务器之间的连接仍然是加密的，不可被截获的

这时候可能就有人要问了，fiddler之类的抓包软件是如何获取https数据包的

其实原理也很简单，fiddler

并没有作为中间人身份去读取数据包，而是直接扮演了一个客户端+服务端的身份

服务器在和fiddler所扮演的客户端通信，而不是直接和你的客户端，然后fiddler自身又扮演一个服务器用自己的证书加密和你的客户端通信，两段https通信都是加密的

发布于 2023-08-12 10:56