为什么浏览器导入了 burp suite / Fiddler 等抓包工具的证书， 所有网站 https 的 s 就形同虚设了？

是否是因为 burp 道德沦丧卖屁股收买了 CA 机构的人心，导致自家的证书畅通无阻？还是另有别的原因？

楼主你一楼的回复我都看不出来你是真不知道还是假不知道了。
证书诶，https 能用不就是因为证书吗？你都导入并信任这个证书了，它还有什么不能看的？
认真回复：建议查查 https 是怎么保障信息不泄露的，以及了解“中间人攻击”是怎么实现的。

@jifengg 我不理解的点在于，证书不是跟域名有关的吗，类似于一个人有一张唯一的由 CA 机构颁（公安局）发的证书（身份证），按道理来说身份证是一个人只能拥有一张的，别人也只认可信任这一张身份证，但为什么 burp 的证书被所有域名都信任，按道理每个站点不应该只信任那个和自己域名绑定的证书才对 ？？？？

应该是网站没校验客户端证书吧

「导入了」

@godblessumilk #3 ”信任“是由浏览器完成的，浏览器信任一切 CA 颁发的证书，如果一个网站有 N 张由 CA 颁发的证书，那他们都是有效的。
CA 的判断是依靠操作系统内置的一个 CA 列表，Burp 在这个列表中添加了一个假 CA ，然后每次你通过 Burp 访问一个网站，Burp 都会用这个假 CA 签发一张对应的证书，但是浏览器没有能力识别这是个假 CA ，所以就通过了。（ OCSP 啊证书装订证书透明之类的姑且不论）

@learningman 原来是因为 [浏览器没有能力识别这是个假 CA] ，感谢前辈