主题：我所了解的中国“棱镜”情况 -- 汴梁牛二

但是，CA是可以再安装的，而通常普通人在使用电脑的时候，都CA根证书的安装很少仔细去看是装了神马。

现在网银、国内预装的操作系统，甚至是一些商业软件，都可以成为植入政府证书的途径。

实际中，很多企业都对员工的上网行为进行记录，其中包括SSL数据；使用的方法就是，在企业的终端上增加一个预制的CA根证书（企业通常可以直接通过AD域推送），让浏览器信任企业自签发的证书，再在监听网关上安装一个企业自签发的证书。而实际这一块的问题是，SSL加解密非常消耗性能，如果这样做必须配置昂贵的硬件加解密设备，所以企业中采用的较少。但是，政府在这块的经费应该不是问题。

另外，SSL协议本身是足够安全的，现在可以采用中间人的是针对其只认证服务器端的模式，对于客户端和服务器双方都必须进行身份验证的模式，几乎无法进行攻击。所以，带证书客户端的VPN是足够可信任的。