大家好，我是专注网络安全的老张。今天我们来聊一个很多人困惑的问题：当浏览器或客户端选择“忽略证书警告”继续访问HTTPS网站时，数据到底是明文还是密文传输？ 这个问题看似简单，但背后涉及TLS协议、证书信任链、加密原理等多个知识点。我会用最直白的语言和实际案例帮你彻底搞懂！

一、先上：忽略证书≠明文传输

很多用户以为点击“继续访问不安全链接”后数据就“裸奔”了，其实不然！即使忽略证书警告，HTTPS的加密通道依然存在，数据传输仍然是密文。但这里有个关键区别：

- 正常情况：加密+身份验证（证明你是真的淘宝）

- 忽略证书时：只有加密，没有身份验证（不知道对方是不是假淘宝）

举个例子：

你收到一封加密信，信封上写“马云寄”。正常情况下会有保安（CA机构）检查马云身份证（证书），确认是他本人。如果忽略警告，相当于你直接相信信封上的名字，不查身份证——信的内容仍是加密的，但寄信人可能是骗子。

二、技术原理拆解

1. HTTPS的两大核心功能

- 加密传输：通过TLS协议协商密钥，用AES等算法加密数据

- 身份认证：靠CA签发的数字证书验证服务器身份

2. 什么情况下会触发证书警告？

| 常见场景 | 举例说明 |

||-|

| 自签名证书 | 公司内网测试用的https://oa.test.com |

| 证书过期 | 就像过期的身份证 |

| CA不被信任 | 用了野鸡机构颁发的证书 |

| 域名不匹配 | 证书是给www.taobao.com的，但你访问的是m.taobao.com |

3. TLS握手流程对比

```mermaid

graph TD

A[正常流程] --> B[客户端验证服务器证书]

B --> C[协商对称密钥]

C --> D[加密通信]

E[忽略警告流程] --> F[跳过证书验证]

F --> G[协商对称密钥]

G --> H[加密通信]

```

可以看到两种情况的唯一区别就是红色框的验证步骤。

三、实战风险演示

?? Case1：中间人攻击(MITM)

假设黑客在咖啡厅伪造了一个WiFi热点：

1. 你连接"Starbucks-Free"热点（实际是黑客的）

2. 访问https://bank.com时收到证书警告（因为黑客用了假证书）

3. 如果你点击“继续”：

- 数据仍会被加密传输

- 但加密对象是黑客的服务器！

- 黑客可以解密你的请求→窃取账号密码→再转发给真银行

```python

这就是为什么安全人员反复强调：公共WiFi不要忽略证书错误！

?? Case2：企业监控场景

很多公司会在内网部署SSL解密设备：

1. 你的电脑安装了公司自签名CA证书（相当于给了公司“万能身份证”）

2. 访问https://mail.google.com时：

- 对公司来说：能解密所有内容（因为用了自己的CA）

- 对员工来说：浏览器显示“安全锁”（心理安慰而已）

四、给不同人群的建议

??普通用户：

- 看到证书警告立刻停止访问！

- Chrome提示的三种高危警告：

1?? `NET::ERR_CERT_AUTHORITY_INVALID`

2?? `NET::ERR_CERT_DATE_INVALID`

3?? `SSL_ERROR_BAD_CERT_DOMAIN`

???开发人员：

-测试环境可以用以下方案替代自签名证书：

```bash

macOS/Linux生成受信任的本地CA

openssl req -x509 -newkey rsa:4096 -sha256 -nodes \

-keyout local-ca.key -out local-ca.crt -days 3650 \

-subj "/CN=MyLocalCA"

然后导入系统根证书库。

??企业管理员：

- SSL解密设备需要配合终端安装CA证书

- 必须明确告知员工监控行为（否则可能违法）

五、终极灵魂拷问

既然数据还是加密的，为什么不能忽略警告？

?? 因为网络安全的核心是：“保密性≠安全性”！

就像你不能因为门锁是铜的就相信所有拿钥匙的人——没有身份验证的加密，就像把保险箱密码告诉陌生人。

下次再看到这个页面时，你知道该怎么做了吗？


（正确答案：扭头就走！）

如果有其他网络安全问题欢迎留言讨论~

TAG:https忽略证书信任还是密文吗,忽略证书风险,chrome忽略证书错误,nginx忽略证书错误