有客戶已經(jīng)正確部署了SSL證書塔鳍,但是向我們提出了這個問題:
我今天采用抓包工具進行抓包,但是我發(fā)現(xiàn)數(shù)據(jù)沒有加密,請問是怎么回事?那采用證書加密有什么用?是不是很輕易的被別人抓取?
其實客戶提出這個問題兔辅,本身是對于證書技術(shù)的一些誤解雷猪,涉及到證書的技術(shù)問題。下面就簡單的說一說為什么會產(chǎn)生這個現(xiàn)象台盯。
https抓包的原理就是抓包程序?qū)⒎?wù)器返回的證書截獲 然后給客戶端返回一個它自己的證書 客戶端發(fā)送的數(shù)據(jù)抓包程序用自己的證書解密逸贾,然后再用截獲的證書加密,再發(fā)給服務(wù)器 所以你在能看到明文壁袄。
密文是針對https兩端以外其他路徑而言,你作為https鏈接的兩端媚媒,當然可以看到明文
技術(shù)一點來說然想,TLS協(xié)議是在tcp協(xié)議之上的,tcp又是基于IP協(xié)議的欣范。所以無論如何,你的對端IP地址是肯定無法加密的令哟。
換個角度來看恼琼,假如你把對端ip都加密了,路由器怎么辦屏富?你的數(shù)據(jù)根本無法在網(wǎng)絡(luò)上轉(zhuǎn)發(fā)晴竞。另外TLS協(xié)議也只是把HTTP層的數(shù)據(jù)加密了,所以也只是無法看到HTTP傳輸?shù)膬?nèi)容狠半,但是其他協(xié)議層的內(nèi)容還是明文傳輸?shù)摹?/p>