先给大家说个常见场景：小张在机场候机，闲着没事就连上了机场的免费Wi-Fi，打开手机银行想查下余额。他其实也隐约听过“公共Wi-Fi不安全”的说法，但看到屏幕上那个小锁图标，心里就踏实了——有锁，应该就安全吧？

这时候问题就来了：要是公司的网络，或者机场这种公共Wi-Fi，用了代理服务器，那个HTTPS的小锁还管用吗？咱们的加密信息，到底是怎么穿过代理，不被偷看的？今天就把这事讲明白，保证小白也能听懂。

代理的两个“身份”：一个懂人话，一个只干活

要搞懂这个问题，先得分清代理的两种类型，不用记专业名词，听我说完就懂。

第一种叫HTTP代理，它就像个爱凑热闹的小弟，你发的所有请求，它都能看懂——你要访问哪个网站、想做什么操作，它门儿清。但也正因为它看得懂，它只能处理没加密的HTTP流量。要是你用它访问银行这种HTTPS加密网站，它就傻眼了，看到的全是乱码，根本看不懂，也没法处理。

第二种叫CONNECT隧道，这才是HTTPS能顺利过代理的关键，它就像个沉默的管道工，不打听、不偷看，只负责帮你挖一条直达目标服务器的“专属通道”。它看不懂你发的加密内容，也不想看懂，只负责把数据原样传递。

重点：那个叫CONNECT的“魔法指令”

可能有人会问，这个隧道到底是怎么打通的？其实一点都不复杂，咱们拿你用浏览器访问银行网站来举例，实际发生的对话，就像这样，特别好理解：

首先，你的浏览器先跟代理服务器搭好连接（专业点叫TCP连接，不用记，就理解成“打通电话”），然后发一句“指令”：CONNECT bank.com:443 HTTP/1.1，后面再跟一句Host: bank.com，意思就是“麻烦帮我连一下bank.com这个网站的443端口”。

代理服务器收到这个指令后，就自己跑去跟bank.com的443端口建立连接，相当于代理先去“对接”银行网站。等连接成功了，代理就会回复你一句：HTTP/1.1 200 Connection Established，翻译过来就是“通道通了，你们直接聊就行”。

这时候，代理就彻底变成了一个“搬运工”，站在你和银行网站中间，你发过去的每一个字节，它都原封不动地转给银行；银行发回来的每一个字节，它也原封不动地转给你，全程不偷看、不解读，纯粹就是帮忙传个话。

隧道通了，加密一点没少

这里最关键的一点，大家一定要记牢：当你收到代理回复的“200 OK”（通道打通）之后，你的浏览器会立刻在这个已经打通的连接上，启动HTTPS的加密环节——也就是常说的TLS握手，相当于给你要发的所有数据，都上了一把锁。

我再用通俗的步骤，把整个流程理一遍，保证你能记住：

1.  你 → 代理：先打通一个基础连接（相当于先拨通电话）；

2.  你 → 代理：发指令“帮我连bank.com”；

3.  代理 → 银行：自己去跟银行网站打通连接；

4.  代理 → 你：回复“通道通了”；

5.  你 → 代理 → 银行：启动加密（给数据上锁）；

6.  你 → 代理 → 银行：发加密后的请求（比如查余额、输密码）；

7.  银行 → 代理 → 你：发加密后的回复（比如余额信息）。

从第五步加密开始，所有的数据都是锁死的。代理能看到什么呢？它只能看到你在跟bank.com这个网站通信，因为最开始的“CONNECT指令”是明文的；但它看不到你们聊了什么——你的银行卡密码、余额、手机验证码，它一概看不见，也解不开。

既然代理看不懂，那中间人攻击怎么来的？

肯定有人会疑惑：既然代理看不懂加密内容，那公司怎么监控员工上网？黑客又怎么搞中间人攻击，偷别人的信息呢？

答案很简单：正常情况下，代理在“隧道模式”下，是没法解密HTTPS的。但有两种例外情况，大家一定要警惕，记好别踩坑。

第一种，代理强行搞“SSL拦截”。简单说，就是代理耍了个花招：它假装自己是银行网站，先跟你完成加密握手，让你以为它就是银行；同时，它又假装是你，去跟真正的银行网站完成另一次加密握手。这样一来，它就成了“中间人”，两边的加密数据，它都能解密看懂。

这时候，你的浏览器会报警，提示“证书不对”，但有些公司会在员工的电脑、手机上，预先装自己的根证书，让这种“假证书”变得“合法”，浏览器就不会报警了——这也是为什么公司Wi-Fi下，有些操作会被监控的原因。

第二种更简单：你访问的是HTTP网站，根本没加密。这种情况下，不管有没有代理，你发的所有信息都是明文的，代理也好、黑客也好，都能一览无余，所以尽量别用公共Wi-Fi访问非HTTPS的网站。

回到小张的问题，答案其实很简单

小张在机场连免费Wi-Fi，只要他访问的是HTTPS开头的银行网站，并且没有主动装过什么可疑的证书，也没有看到浏览器报警（提示证书有问题）还非要点“继续访问”，那么就算这个网络里有恶意代理，也只能知道他去了银行网站，看不到他的密码、卡号这些敏感信息。

说白了，隧道打通的那一刻，代理就成了一个勤劳又“老实”的搬运工——它搬着一个上了锁的箱子，来回跑，却永远不知道箱子里装的是什么，也打不开。

真正需要小张留意的，不是代理本身，而是两件事，记好这两条，公共Wi-Fi刷银行App就很安全：

第一，别乱装陌生证书，尤其是来路不明的，一旦装了，你的加密信息就可能被解密；

第二，只要浏览器弹出“证书有问题”“网站不安全”的警告，立刻关掉页面，别抱有侥幸心理点“继续访问”。

总结一下：HTTPS的小锁不是摆设，只要守住“不乱装证书、不忽视报警”这两条，不管是公司Wi-Fi还是机场公共Wi-Fi，刷银行App、输密码，都不用太担心被偷看。