公司监控员工上网行为，不是什么秘密。但是现在网络都是https请求，却也能被监控，而且可以监控到你在app上的所有行为。

我之前和it同事聊天，他说很多https的证书是可以被下载的，这样就意味着员工的所有上网行为等于是在裸奔。访问了哪些app，在app里做了什么事情，都是可以被拿到的。公司出于安全考虑才会监控，但目前却被乱用了。我一般除了办公电脑用公司的网，而且规规矩矩，只用于办公，个人手机都用自己手机网络。

我们一般认为https是非常安全的，但世界上是没有不透风的墙。简单说下https的原理。

https整个通信过程用了两种加密方式，相互配合使用。第一种是RSA非对称加密，安全性高，但是性能低，第二种对称加密，性能高，安全性低。过程如下图：

1，客户端访问某网站，把浏览器支持的加密算法发送给服务端，服务端验证这些算法是否支持，如果不支持就连接中断，如果支持就把服务端证书返回给浏览器，包括公钥信息

2，客户端验证证书有效性，比如是否过期等等

3，客户端生成随机数，用随机数加密握手信息，再用公钥加密随机数和握手信息，服务端解密获取随机数，再用随机数解密握手信息

4，服务端再用随机数加密握手信息，返回给客户端，客户端用随机数解密并验证收到的握手信息是否与之前传过去一致。

5，所有验证过程通过后就用对称加密方式进行加密，既安全又高效。