我正在阅读一篇文章，其中说如果您从第三方安装自定义根证书，那么他们可以破译您与他人之间的所有通信。

我不知道你在读什么（引用会有所帮助）。但是您是对的，仅仅安装一个受信任的自定义根 CA 证书是不够的 - 学校/工作还必须是流量中间的活跃人员，并使用此 CA 证书进行 SSL 拦截。

因此，要么在计算机上安装恶意软件，要么监控互联网流量。

不仅计算机上安装的恶意软件可以监控流量。实际上，防病毒或家长控制软件等受信任的程序这样做很常见。

而且，当直接在公司（或学校）网络内部时，通向互联网的路径通常是通过公司的防火墙和代理。即使使用 VPN 或其他访问软件从远程连接，流量也会通过公司控制的防火墙/代理进行路由和检查，直接在公司中，但更常见的是在云中的某个地方。

例如，如果您使用 https 从 Amazon 购买东西，Amazon 会向您发送一个证书来证明它是它们，这是有效的，因为除了 Amazon 之外，没有人可以从您的设备信任的根证书的公司之一获得“Amazon”证书。

但是如果你让我在你的设备上安装一个我创建的根证书，那么我可以创建一个由这个根证书签名的“亚马逊”证书，并且由于你的计算机安装了我的根证书，它会信任这个证书。通过一点黑客攻击，我可以将所有针对亚马逊的请求重定向到我的网站，并且由于您设备上的根证书，您的计算机会信任它。如果没有根证书，您的计算机将拒绝访问虚假的亚马逊网站。

当然，这适用于任何网站。根证书使您的计算机信任我将您重定向到的任何站点。

除非同一组织还安装了充当所有 Internet 流量代理的软件。它需要对所有流量进行主动拦截、解密和重新加密。

为什么别人你认为他们要你安装他们的根证书？如果是出于合法目的（保护自己的财产），他们可以从受信任的第三方 CA 获得证书。如果他们想成为 root 并能够签署任何东西，那是因为他们想在合法 CA 的规则之外进行操作——也就是说，他们想冒充 Internet 上的其他站点以监控您的流量。各种企业和组织都可以轻松获得执行此操作的软件。总之，别人谁问你要安装其根证书是MITMing你，至少在某些时候，大概在任何时候，当你连接到他们的网络。

我正在阅读一篇文章，其中说如果您从第三方安装自定义根证书，那么他们可以破译您与他人之间的所有通信。

由于现在大多数互联网通信都是加密的，因此组织使用内部证书颁发机构来解密流量的常见做法。尽管理论上可以解密您发送和接收的所有流量，但实际上存储此信息将需要大量存储空间。通常，使用 CA 检查数据包以进行 SSL 解密，然后如果允许数据包通过防火墙，则丢弃解密的流量。

下图很好地展示了这个过程：

在不使用内部根 CA 的情况下，公司防火墙、IDS/IPS 等只能扫描数据包的标头以确定是否应该允许或阻止它。

使用 SSL 解密，防火墙解密整个数据包以扫描其全部内容，称为 DPI（深度数据包检查）。DPI 可以更好地防范恶意软件，还可用于检测应使用非标准端口阻止以绕过防火墙规则的应用程序，例如，使用端口 80 与 21 的 FTP。

因此，除非有人（公司、工作、黑客等）真的试图通过做 mitm 来模仿。只有这样，受损的根证书才会发挥作用，因为它将被用来将假证书作为有效证书传递。

没错；SSL 解密的过程是 MITM 攻击。

否则仅仅拥有一个自定义根证书并不像解密所有的 ssl 流量。除非同一组织还安装了充当所有 Internet 流量代理的软件。它需要对所有流量进行主动拦截、解密和重新加密。因此，要么在计算机上安装恶意软件，要么监控互联网流量。

这也是正确的；单独的证书只是在您的机器中受信任的证书。组织将需要以某种方式通过它们传递您的流量以执行 MITM。这通常是通过 VPN、代理或默认情况下连接到内部网络。

如果您想了解有关 SSL 解密如何工作的更多信息，请阅读以下白皮书：https ://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/whitepapers/解密-为什么-在哪里-以及-如何