看到网上有人问这个，这里记录和分享下自己的回答。

需要明确的是，https加密防的是“第三方”，或者说防范的是“中间人”。

很多人说的所谓代理工具可以抓取https通信的明文，都是抓取的自己和服务器的通信，而非监听别人的通信，在这些场景中参与通信的主体仍然只涉及两方，并没有引入“第三方”或者说“中间人”。

另外你会发现，自己装了一个代理工具抓包，一定要先安装它的证书，它才能抓包。这本质是你给工具授权了，你允许它抓了，所以它才能抓，而且抓的也是你自己的数据，不是别人的数据。

一个陌生人发你一个证书文件让你装，你敢装吗？猜测你应该是不敢的，你不装，那么他作为你和服务器之外的“第三方”，有再牛逼的抓包工具都抓不了你的https明文数据，然后你和服务器间的通信就是安全的。

这就是https加密通信的意义。

-END-

阅读原文：原文链接