启用了 https 的网站登录时密码加密有意义吗？

理论上没有意义，如果将浏览器认为是可信环境。

多一把锁

中间人攻击、用户敏感信息保密

接入国内 CDN 后, 它们是能看到明文的

确定是加密不是哈希？

@chenset 不只國內, 國外的 cdn 也能看到明文

美国已经有第一岛链了，第二岛链还有意义吗？
你默认 HTTPS 100%安全，但在安全人员眼里根本不存在 100%的安全。
心脏滴血就是一个血淋淋的例子，安全防线不可能只有一条。

很有意义，HTTPS 未必可信。你去看 Mozilla 的信任根证书列表，有不少被授信的国产 CA 。
说实话我不了解 CA 授信审查是个怎样的流程，但按理说国产机构如果符合中国法律法规，比如有义务在国家安全需要的情况下签发证书用于对特定 xx 分子破案取证。怎么会符合 CA 授信的标准呢？

可能是为了减少整个环节（ CDN 、负载均衡器、Web 服务器等）的攻击面，万一日志配置有误也不会造成明文密码泄露，相当于多加了一道保险。毕竟像 github 和 twitter 这种大厂都出现过日志泄露明文密码的漏洞：
https://www.sohu.com/a/230309592_465914
https://www.sohu.com/a/230826659_175007

明文密码泄露会增加用户的其他服务被撞库的风险，比方说有人在 V2EX 用的密码是 Sbkill1rQlb6xv2 ，那么假如泄露了明文密码，撞库攻击者很可能会按照规律(十步杀一人千里不留行+网站名缩写)猜测这个人在 cloudflare 用的密码是 Sbkill1rQlb6xcf

另外以上说的是一般业务数据。密码就不应该传输。前端加盐后只传输和存储 hash 才是正常做法。

感谢各位大佬的解答，原来有这么多方面的问题

从现阶段的方案来看，没有意义。

证书加密的方案是基于信任链，cloudfare 发的证书（现在 cloudflare 都是自己签发 SSL 证书来解密你客户端用户的 SSL 流量了，这个信任链是内置于浏览器的），也是看你信不信任它。理论上 cloudflare 可以读取你的所有通信数据（账号密码 balabala...想看就看，如果你用它来传输的话）。即便在浏览器端加密，那么算法和代码是不是得放在浏览器端，算法和代码浏览器调试工具直接可以抓出来。所以，浏览器可能也是一个问题所在，那么你信不信浏览器。

所以现在的公司，如果想要安全性，那只能自己做客户端，自己信任自己。如果想要便利性，那确实直接用浏览器就行。

等保测试能通过～

多一道防线，多一份安全底线

加密？不是直接传 hash

@Buges 有审计公司、符合流程就可以申请纳入 root certificate

不能做有罪推定 只能在被抓现行才能吊销证书

做有罪推定禁止内地 CA 又有官煤跳出来带节奏

@PMR 这不是有罪推定，而是法律规定，你可以去看一下国家安全法。
如果他履行要求就无法履行中国法律规定的义务，如果遵守中国法律就无法履行要求。
这就和国内的所有“端到端”加密平台一样，不是信任和有罪推定的问题，而是合规的前提下就不可能做到。

不清楚所谓审计流程是怎么工作的，但我想私下的辅助国家安全部门对少数 xx 分子签发中间人证书用于辅助破案，这种针对特定目标的攻击很难被发现吧？

@Buges
https://aka.ms/auditreqs
https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/#3-documentation

任何商业 CA 都是遵守公司注册地的法律 扯安全法没意义

point 在于
审计机构不会对任何商业 CA 做有罪推定

现在各家基本都有 CT log 部分浏览器也会主动上报
安全性高的应用还会验证自己证书的 fingerprint
在封闭网络环境做攻击 无解 任何一个 CA 都可以攻击

如果不加密， 测试人员可不管是不是 https ，直接把它 标记为一个 S0 级问题，不得发版，还会通报批评。。

你的密码也许绕了地球一圈，才被最终的服务器处理。也许集群收到你的请求后，就在内部裸奔，打日志