Https与ssl钉扎

Question

我想知道常规的SSL协议与SSL协议有什么不同。通过设置https，我们可以使用SSL加密请求。处于攻击中间的人将无法看到原始的有效载荷。我也知道SSL钉扎是防止中间人攻击的另一种方法。但是我的问题是，如果一个代理总是只在https协议下看到加密的数据，为什么我们仍然需要在客户端捆绑证书并进行SSL固定呢？SSL能给我们什么好处？

Answer 1

证书钉扎意味着客户端拥有服务器的证书“内置”，并且不使用计算机的可信存储。这意味着即使您的IT部门安装了自己的根证书，也不会使用它。

一个特别聪明的IT部门可以在您的计算机上安装他们的根证书，使用像Charles这样的代理实时创建假站点证书，并实时重写您下载的程序，替换固定的证书，但大多数都不够复杂，无法完成最后一步。

你可能也可以从家里下载软件，在这种情况下，固定证书就可以了，而且它永远看不到传输上的内容。