https安全在哪里？不是可以抓包明文吗？

你是不是对安全有什么错误的理解? https是别人看不到你发送的数据, 自己当然能知道. 自己要是都不知道, 相当于根本没法发送, 没法接收. 连功能都没法实现, 再安全有什么意义.
所有的域名证书和域名不匹配的情况, 浏览器都会提示. 如果用点同意了, 那安全性就由用户负责, 用户都信任黑客给的证书了, 那被坑了不就活该么.

fiddler这个工具就可以理解成一个黑客中间人, 但是浏览器会信息fiddlerr的证书,
浏览器用 fiddler 给的证书和fiddler通信, fiddler又和原始网站通信.

黑客在他自己的电脑上安装证书之后，会和服务端协商得到一个仅适用于他的电脑的密钥，这个密钥不能用来解密你与服务端的通信流量。

除了内容加密之外， https 更重要的作用在于防止内容被篡改，因为浏览器是可以辨别被篡改的内容的，那些下贱的宽带运营商就不能再随意往用户的网页里添油加醋了。

黑客能安装证书，就代表黑客已经对这台设备有着完全的控制权了，像android/ios系统都是有非常复杂的证书安装信任的操作步骤，防止用户被诱骗安装证书
如果客户端是安全的（黑客无法安装证书），那https就可以保证即使传输通道已经被完全监听，也可以进行安全的通信（顶多不让你通信，而无法做到篡改和监听）