在官网 HTTPS 页面下载的软件，还需要去对比 hash 来验证软件合法性吗？

可以验证，但是被篡改的可能行很低

当然，浏览器完全可信吗？系统环境完全可信吗？甚至来说，你检验 hash 的工具完全可信吗？
而且从第三方页面下载页看不到官网的 hash 呀，一般给 hash 就是为了验证各个 mirror 以及官方渠道下载到的都是同一个东西呗，没有绝对的安全啊。

有篡改的可能，万一官网被入侵了呢

@hundan 如果官网被入侵，那 hash 结果不也不可信了？头疼。。。

有直接劫持 https 的技术，不会去搞你这么个用户的。

搞普通老百姓级别的 https 劫持，都是靠强制 downgrade 到 http 来做，所以只要 https 那个标志显示为安全，那就是安全的。

直接验证软件数字签名，没有的要慎重，需要再去看看各大下载站的 Hash ， softpedia ， SF 等等

上一次 linuxmint 被改 iso 文件不知道是怎么回事

这个机制最终验证的是软件包的签名，而不是下载该软件的网站提供的证书。

而且 HTTPS 的角色正在倾向于强调防止传输途中的窃听，中间人攻击。它不能防止网站自身就提供了非真实的软件。

验证一下又不会怀孕~

还是验证一下吧，毕竟出岔子了就咖喱给给。 HTTPS 在你设置正确的情况下按理说不应该出问题，前提是 ban 掉各种不靠谱的证书。