曝光名字, 避免踩坑

https 不会

https 协议目前很难审计。。毕竟需要审计设备支持的证书足够多，放心吧

@oott123 如果这个根证书始终信任 SSL，会被中间人攻击吗？

@dr3am 想请教为什么“需要审计设备支持的证书足够多”？如果捕捉 SSL，不是信任 SSL 被能被中间人攻击然后嗅探到吗？

@copriwolf #4 可能。手动设成不信任吧

现在对 https 的审计实现基于中间人拦截技术，通常做法是在网络出口加审计设备对 https 请求拦截，由审计设备代为发起 https 请求并返回结果。
这样做的最大 bug 是替换掉了原始 ssl 证书，所以要验证也很简单，打开网页的时候检查地址栏是不是有小绿锁，证书的颁发机构还是不是目标网站。

你用 charles mac 版本试一下导入根证书，然后按照那样的证书设置，最后再看下劫持 https 的时候浏览器有没有警告

@runntuu 问题在于类似微信 /邮箱这种，并不能在浏览器里验证 HTTPS 的颁发机构。然后我现在已经信任了根证书(虽然不是全部协议都信任，如上图所示)，所以存在中间人代为发起的可能性，这种有验证方法吗？

@coolcoffee 可是我的出口是依托公司的网络，而 charles 只是在软件级的拦截。会不会不一样呢？

打开一个 https 站点，然后查看证书是谁签发的，如果是公司签发的就可以监听，否则现在没监听。

@gamexg 那请问如果是程序级的呢，比如微信或者 mail.app ？

如果你设置信任中间人的证书，那也会显示小绿锁。

本地抓个包，看看 ssl 协商发过来的 server certificate 就好了么

wifi 认证的就是个 server cert，并不是 root ca，基本不会用来 mitm 的。再说，要监控企业部署个 root ca 到你电脑上也行啊，没必要混用

刚仔细看才发现是 root，抓包吧，包头很容易看到的，很容易确定

选择只信任 EAP，TLS 连接不会尝试用这个 CA 验证的。

@xenme 我们现在企业就是让我安装 root ca 才能通过验证上网啊，如果所示。。。。。。
所以疑问就是，如果程序走 ssl，不确定有没有黑科技能够被出口捕获攻击

@dndx 那有其他的黑科技，在掌握出口的情况下，可以截获吗

@jedrek 对于一些公司来说，审查网络很正常吧

@copriwolf 除非你的 Mac 被种了后门，几乎不可能。