从外部，窃听者可以被动地访问作为SSL/TLS连接初始步骤的一部分“明文”发送的所有内容。这包括使用 SSL、协议版本、商定的一组加密算法、服务器证书，通常是预期的服务器名称......一旦初始“握手”完成，外人只能看到加密数据，这他们无法解密；请注意，目标 URL 是加密数据的一部分（目标服务器名称可能在握手中可见，而不是 URL 的其余部分）。必须说，虽然加密数据对窃听者是不透明的，但长度此类数据不是；根据密码套件，外部间谍可能以单字节精度知道长度。

无法从客户端或服务器（根据定义）检测到传输中数据包的这种仅被动记录。

要访问SSL 隧道的内容，检查员必须以某种方式侵入客户端或服务器。有一些产品旨在由大型（企业）网络的管理员部署，其中这种“黑客”通过插入客户端系统的受信任根存储中的附加“根 CA”来体现。这个额外的根 CA 由代理控制，它会为您尝试访问的服务器动态生成假证书，并且基本上运行中间人攻击。这可以通过让您的浏览器显示服务器的证书并查看该证书附加到哪个根 CA 来在客户端检测到。

但是，在信任库中插入一个额外的根 CA 需要对机器的特权访问（即作为管理员），并且任何能够做到这一点的人都可以安装不太显眼的间谍软件，例如键盘记录器和屏幕截图抓取器。因此，如果 SSL 内容检查完全可能，那么检测不到的检查也是可能的。额外的根 CA 是为 SSL 内容检查员提供的，他们在官方基础上采取行动并且不想隐藏他们的窃听。

相反，如果您的机器是“干净的”（未受到潜在间谍的影响），那么 SSL (HTTPS)将保护您免受外部数据检查。这是 SSL 的核心功能之一。

很长一段时间以来，我一直对自动 SSL 检查检测器非常感兴趣。就这一点而言，一些可能对您有所帮助的 Security.SE 链接：

• 已建立的 SSL 连接是否意味着线路真的很安全？

• Javascript/Flash 可以验证 SSL 连接以防止“SSL 检查”吗？

• 如何检查我是否有与网站的直接 SSL 连接？

• 我应该查看可疑证书中的哪些字段？

• HTTPS 连接是否会因为恶意 DNS 服务器而受到威胁

CA 的根证书可从 CA 颁发者处免费下载。解冻，威瑞信。所有主要 CA 颁发者的根证书 -在这里。如果这是您正在寻找的。