请求基于https的加密？

Question

在HTTPS (SSL)浏览器中，发送只能由服务器解密的加密数据。

为了确认这一点，我在Firefox浏览器上设置了burp代理，这样它就可以拦截通过浏览器发送到HTTPS服务器的请求。当我在打嗝时收到它时，我看到用户输入的数据，尽管我希望浏览器一定加密了它，但没有加密。

那么浏览器在什么时候通过HTTPS加密数据呢？

Answer 1

大多数这样做的软件(例如，反病毒扫描器)用它们自己的https证书替换https证书，这样https流量就可以由软件进行中间人操作。

虽然我对Burp不熟悉，但它看起来也是一样的：using.html

所以而不是

浏览器-(通过https)->服务器

只有服务器才能读取，因为只有服务器拥有解密http的私钥，因此，它变成：

浏览器-(通过https)

如果您查看浏览器中的https证书，您可能会注意到它是由Burp发出的，而不是站点在不使用Burp时显示的真正证书。

这是唯一真正做到这一点的方法，不需要在加密发生之前主要改变浏览器来拦截它，但是会产生自己的问题:软件真的应该拦截您和您的银行之间的流量吗？如果第一个连接可能被破坏，该怎么办(例如，请参阅联想超级鱼事件 )。许多人(包括我自己)都不喜欢MITM服务。