HTTPS网站能被黑客监听明文数据吗？

使用 HTTPS 的网站也能被黑客监听到数据吗？

想问一下大家，如果我访问的网站是https的，那么黑客有没有办法监听我的数据流量啊？前几天在freebuf上面看到波兰因为DNS劫持大量用户被盗取银行钱了，是真的吗？黑客能够做到这种攻击吗？

对于关注于网络安全研究的我来说，生活中的每一天都把注意力放在网络安全上，其中也包括在旅游的路上。这次去三亚玩了几天，每到一家酒店，就把注意力放在酒店如何对待游客的上网流量。

当我打开邮箱时，邮件的客户端与邮件服务器之间的数据传输是依靠TLS来加密保护的，所以一般认为既然邮件是加密的，酒店的网络设备是无法偷窥住店客人的邮件内容的，充其量可以知道我访问哪些服务器，IP地址是什么，域名是什么，对吗？

神奇的一幕发生了，屏幕上突然弹出一个提示框，这个提示框我没有保存，大体的意思有以下三点：

• 服务器证书有效 P
• 服务器证书是自签名证书 P
• 服务器证书与本地信任根证书无任何关联 O

如果你选择信任它，请点击 “Yes”; 如何你不信任它，请点击 “No”，程序将自动退出。

如果不是睁大眼睛，没有看到那个叉号的提示，会轻易地点击“Yes”，那么就无条件地选择信任这个来路不明的证书，而这个来路不明的证书99%+来自于酒店的网络设备。

酒店就可以做为中间人建立两个TLS连接：

• 一个是与邮件客户端的TLS连接，酒店可以加密、解密与客户端的通信
• 一个是与服务器的TLS连接，酒店可以加密、解密与服务器的通信

那么，酒店就可以自由自在地监控游客的明文流量了。

酒店这样做的安全考虑是什么？

当然安全是首要考虑的要素，大家知道在10年前明文通信占据互联网流量的绝大多数。在网络的出入口监控、扫描明文流量是非常轻松的，直接对报文操作就可以了，可以将携带恶意代码的IP报文丢弃处理，这样最大限度地保护内部的网络不受病毒的侵扰。

2017年互联网加密流量超越明文流量，占据领导地位，这样就给流量的监控带来了很大的挑战。因为网络扫描、入侵检测系统在没有加密/解密密钥的情况下，是无法将加密流量解密成明文数据的，那么自然就无法对流量进行深度的检查。

但是，技术是为人类服务的，总不能让技术束缚了人类的手脚。如果网络监测设备的自签名证书，能够让客户端信任，那么就会发生上文的故事，这样网络监测设备就有了解密的密钥，就可以对明文流量做深度的体检。

这样做带来一个不良后果，游客的敏感机密信息就暴露在监控设备上了，而一旦被拿来利用，会造成难以估量的损失。

这种监控手段并不仅仅局限于酒店网络，同样适用于企事业单位网络。

写到这里好像还没有写到DNS劫持造成的灾难，原理是相似的，不知道各位读者愿不愿意看。。。