HTTPS

在这问等别人回答自己可能已经通过搜索引擎找到答案了。先去了解一下证书的格式和怎么生成的，这个答案自然明了。

https://s2.ax1x.com/2019/11/16/MwsGrT.png

我之前关于这个问题做的笔记。 笔记来源 <图解 HTTP>

我选择的不是 问与答 的节点么，难道 V2EX 的答案不算 搜索引擎里的内容么？

@HarryQu 感谢

@linwu #3 不算啊，因为搜索引擎里早就有这个问题的答案了，你自己搜索就知道了，v2 还要别人回答

你这思想，很伸手党

@chinvo 不懂就问，别太苛刻

@aabbcc112233 #6 提问的智慧，别太懒惰

提问没错，下面有人指出可以搜索之后楼主竟然把对方批判一番实在过于伸手党

@chinvo 看了下他的提问标题，确实该！

公钥在证书里面，证书有 CA 的签名，可以用 CA 的公钥验证，CA 公钥是客户端内置的

@chinvo 你又是如何知道我没有搜索过？如果我搜索过出来的文章解释的并不清楚，我希望到专业些的技术网站来确定，也是不允许确定的？是不是每个问题都要附带（已在搜索引擎搜索过）才能提问，你看我的问题描述觉得我是一点都没查过自己就过来问的吗？

@linwu 没有批评的意思，只是作为过来人说几句。

已经查过的情况下，建议说明已经看了哪些资料，但是*具体*哪里觉得说得不清楚或是不同资料之间哪里冲突。这样大家给的回答一般也更有针对性。

至于你的问题，伪造出来的证书不是受信任的 CA 签发的话，签名是无法通过检验的。理论上讲，如果你实际控制了另一个受信任的 CA 是可以伪造证书的。但在公共互联网上是几乎不可行的，因为现在各大浏览器（和操作系统）对公共 CA 的审计和透明度要求非常高。

当然在你自己控制的设备上，想要伪造一个证书是完全可行的，像 Fiddler 或者 Burp Suite 之类监听 HTTPS 的原理本身就是重签发（伪造）证书，之所以可以“骗”过浏览器是因为这些软件会让你信任软件生成的根证书。

也可以参考一下别人的答案：

https://security.stackexchange.com/questions/68198/cant-i-forge-an-ssl-certificate