国家级证书进行强制 MITM 有可能吗？

怀疑你暗示某几家 ca 。

如果目标价值足够大，为啥不能用来 mitm 呢，然后称失误发错证书了。

不过我总觉得没必要，如果该 ca 发生过一两次 mitm， 估计搞事儿的会毫不犹豫地把该 ca 拉黑。

另外，很多工具用的是自签证书，根本不会理会系统的 ca 列表

你要担心的不是梯子，而是各种更新被加料。

梯子大不了玩套娃，外层套个可被 MITM 的证书，里面再用自己的加密方式和信任列表。
但系统更新和软件更新很难控制，劫持之后塞个木马进来防不胜防（参考临侦）。

@Osk 我说的不是个别情况，是强制每个人安装证书，手机出厂内置国家证书，不安装不让上网，哈萨克一开始就是这样，没有国家证书的一律 redirect 去安装，只是后来被叫停了。。。

@snw 这是个问题，但如果梯子可以里面套自己的加密，厂商也可以，或者用其他方法校验。我担心的是里层的加密被限制，毕竟大部分普通流量都变成明文后，剩下的目标就容易锁定多了

以前不可能，以后不排除。
小学生什么是都做得出来

完全可以，只看人家是不是想这么做而已。
当然，这样做以后的效果怎么样另论。

@wevsty 我在想当 encrypted SNI 普及的时候，现有过滤就没用了。。然后总要想新的方法吧。。

加就加呗，传输层加密还能拦住我在应用层加密啦？

这东西大概率为了监控之类的吧，不过看来楼主不知道啥叫合法监听。我一直认为终端级别的监控无意义，因为权力可以通过命令让私企配合开后门，不光高效成本还低。就像微信我认为是一定有后门系统给 zf 的，甚至微信自己都不可以用这个系统

@MrCurly 不需要认为，这个几年前就已经确定了吧，疼逊想调用记录得向相关部门申请

@MrCurly 你说的对，但 MITM 是全局式的做法，不需要一个个部署，和特定系统的后门互为补充。另外也是针对国际流量，比如这样一来收发邮件就全部明文，除非对内容再加密

突然就想起那个带 QQ 号的新闻了, 虽然不知道为啥想起来的...

商密算法是双私钥，其中一份由**持有，可以直接解密，不需要做中间人攻击。
该算法虽然普及度低，但也不是没有强制使用的那一天（

你们还记得当年 12306 的证书吗？有几个人卸载了的？

@elfive 根本就没安装好么
可以直接无视警告用的

如果强制 MITM 了，跟不加密有什么区别。。。那就直接透明着跑呗。。。以后就改成了纸质加密，你发电报文，我用书翻译，哈哈哈。

这东西一出，权力部门手里那份密钥泄漏的可能性就是百分之一百，所有密码和敏感都变成纸糊的。相当于全民退回 http 时代，那黑产恐成最大赢家。

@alalida 你让我想起很多年前谷歌还没被封还是 http 的时候，只要一搜江爷爷和宋 xx 就被 reset 了，哈哈哈哈

@domosekai 还行啦，江爷爷还是心胸开阔滴。你现在试试，被 reset 的就不只是 connection 了😂