不需要为 https 加密数据？答案

【问题标题】：No need to encrypt data for https?不需要为 https 加密数据？
【发布时间】：2015-06-07 13:42:45
【问题描述】：

我正在使用中间人代理监控我的 Android 手机的网络流量。作为其中的一部分，我在我的手机上安装了一个证书（由我的服务器签名），我可以看到所有应用程序都以明文形式发送密码等敏感信息。

我知道 SSL 协议负责建立安全通信，但这是否消除了加密数据的需要？

【问题讨论】：

网络上的数据是加密的。基本上，您正在使用 ssl 代理拦截该数据，所以是的，您将能够看到任何东西。如果您关注新闻，这与今天的CNNIC黑名单或最近的联想Superfish惨败没有什么不同。
这不是真正的安全威胁吗？如果有人设法安装了证书，那么我的所有数据都会被泄露？
证书本身什么都不做。这只是一些数字。威胁的是正在使用的任何应用程序。

【解决方案1】：

所以这里真的有两个问题：

它是否消除了在所有情况下加密数据的需要？没有。

它是否消除了在大多数情况下加密数据的需要？是的。

要理解这些答案，我们需要讨论一件重要的事情：密钥分配。

您将如何获得用户（发出请求的用户）的密钥。如果您有可靠的侧通道，则可以在侧通道中发送密钥。这意味着即使攻击者可以解密 TLS 流，任何通过 TLS 加密和发送的数据都无法解密。

对于一般的网站，没有可靠的侧渠道。对于一般的网络服务也没有（像 sshd 这样的实现只是尽最大努力“假设第一个连接是好的”）。

如果您的数据足够重要以证明密钥的侧通道分发（最好是离线）是合理的，那么 TLS 内部添加的加密可以保护您免受某些攻击向量的影响。

但是，问问自己是否值得为您的用例。所有的安全性都是可用性和简单性的权衡...

【讨论】：