从技术上讲 https://url 访问除了服务器地址被看到，其他都完全加密的是吗？

现在有 CT 证书透明度监控，就算是 CA 想要伪造证书也很难了吧

@eason1874 #12 不是再签一个就行，同时还需要流量能经过他那里，这样他才能替换证书啊，这叫中间人攻击，但首先他必须是流量的中间人，否则他就是签出花来有个啥用

@eason1874 wosign 劫持张口就来??? wosign 进黑名单不是因为伪造签名时间以使用 sha1 吗???????

1.SSL 证书签发不需要私钥，签发方看不到

2.CDN 需要上传私钥，能看到（废话他看不到怎么转发给你）

3.不需要考虑 CA 恶意签发证书，CDN 中间拦截的问题，因为你只能选择信任

4.当物理设备可以被控制的时候你还在考虑 SSL 安不安全？

@no1xsyzy #15 cloudflare 支持“无私钥（ keyless ）”模式，就是不知道国内的这些 cdn 是否支持类似的技术。这种模式估计在国内行不通吧。
keyless SSL： https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/

@ly841000 #23 当年 wosign 是只要验证子域名，就会给根域名的证书，当然你也可以说这是他们的失误，不是他们的本意。但别人信不信，就是另一个问题。

@yazoox 你搞笑，中国证书机构由于管理不力不理，经常勾结公 an，所以被所有浏览器吊销证书资格，美国的管理也不力吗证据呢 360 浏览器会吊销美国公司吗

StartCom 和 WoSign 人类工贼，经常代理，签发诈骗和菠菜网站证书

@FucUrFrd 你是否还记得 [Symantec 根证书被停止][Symantec]？

[Symantec]: https://cn.starbytecomputers.com/google-will-revoke-trust-in-symantec-root-certificate

恕我中文不精，“工贼” 在这个上下文是什么含义？什么情况下会出现 “人类工贼” 的表述？

签发错误的证书（为不拥有某域名的人提供该域名的证书）是显然的失职，但签发诈骗和菠菜，那 Let's Encrypt 也这么干啊？鉴别网站性质是否合乎哪国的法律不是证书签发者的职责，阻止不合某国法律的证书也不是其义务。

@whee1 keyless 也只是没有私钥，但你还是要把握手的数据给 cf，让 cf 可以解密数据
不然要 CDN 有什么用？什么都看不到，什么都控制不了，那只能全部回源

@FucUrFrd 另外，我记得 CNNIC 证书仍然存在于各操作系统和 Firefox 的默认根证书中，你可以查一查。
除此以外，还有 CFCA GDCA 之类的。
这些我通常删了也没什么毛病（

如果数字证书公钥被劫持那岂不是也。

这玩意肯定避免不了

只不过从之前的裸奔, 变成了少数人知道

一步一步来呗

我记得之前听说是 WoSign 签发了 gmail 的证书，被 Chrome 上报了。如果你们怕自己的域名被别的 CA 恶意签发证书，可以在 DNS 添加 CAA 记录。

@SjwNo1 公钥是公开的内置在 Chrome 里，除非你是山寨红芯浏览器，割韭菜专属

@weizhen199 大佬开个补习班？

@no1xsyzy 这些删掉以后有些国内网站会打不开。
不过浏览器缺乏一种类似 ssh 的 trust on first use 机制，这样就导致如果哪天 wosign 这种国内 ca 如果给 GitHub 搞了劫持浏览器也不会有任何提示。

@yazoox 好嘛，什么都美国大公司，这是已经条件反射的反美了？

这个要问是指谁看，例如我上网，我可以是可以看到服务器的传入返回参数的，一个 f12 全部看到，但例如有路由器管理权限的人，要看连在路由器上的人的数据，这就费劲了(前提是 https)

能看到的基本上只有协议、域，这里的域是指域名+端口号，其余的就都被加密了。

在你的例子里，url 中域的部分是明文的，路径部分被加密，我举个例子：

https://baidu.com:8080/search/news?keywords=haha

这里明文的是 https 、baidu.com:8080，其他所有信息都被加密了。