當前位置:首頁 >  IDC >  安全 >  正文

HTTPS也不安全?No,只因沒有避開這個誤區(qū)

 2018-11-23 15:54  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

當我們在咖啡館連上WiFi打開網(wǎng)頁和郵箱時,殊不知有人正在監(jiān)視著我們的各種網(wǎng)絡(luò)活動。在打開賬戶網(wǎng)頁的一瞬間,也許黑客就已經(jīng)盜取了我們的銀行憑證、家庭住址、電子郵件和聯(lián)系人信息,而這一切我們卻毫不知情。這是一種網(wǎng)絡(luò)上常見的“中間人攻擊”(Man-in-the-Middle Attack, MITM),通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù),并進行數(shù)據(jù)篡改和嗅探。

2014年10月,國內(nèi)曾出現(xiàn)過非常嚴重的中間人攻擊事件,微軟、蘋果iCloud、雅虎等知名企業(yè)都遭受了大面積SSL中間人攻擊,其中國地區(qū)大部分用戶隱私暴露無遺,用戶在這些網(wǎng)站上輸入及存儲在云端的私房照片、帳號密碼等都能夠被黑客復(fù)制。

很多不知情的用戶可能會問,SSL不就是為了保障HTTP的保密性和完整性,提供端到端安全服務(wù)的嗎?為什么還會發(fā)生SSL中間人攻擊,難道HTTPS都不能保證網(wǎng)絡(luò)通信安全?

SSL中間人攻擊的三大場景

事實上,SSL被設(shè)計得十分安全,想要攻破并不容易。SSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,它可以驗證參與通訊的一方或雙方使用的證書是否由權(quán)威受信任的數(shù)字證書認證機構(gòu)頒發(fā),并且能執(zhí)行雙向身份認證。

而我們現(xiàn)在常見的SSL中間人攻擊方式都是通過偽造、剝離SSL證書來實現(xiàn)的。換句話說,一旦發(fā)生SSL中間人攻擊事件,問題并不出在SSL協(xié)議或者SSL證書本身,而是出在SSL證書的驗證環(huán)節(jié)。中間人攻擊的前提條件是,沒有嚴格對證書進行校驗,或者人為的信任偽造證書,因此以下場景正是最容易被用戶忽視的證書驗證環(huán)節(jié):

場景一:網(wǎng)站沒有使用SSL證書,網(wǎng)站處于HTTP明文傳輸?shù)?ldquo;裸奔”狀態(tài)。這種情況黑客可直接通過網(wǎng)絡(luò)抓包的方式,明文獲取傳輸數(shù)據(jù)。

場景二:黑客通過偽造SSL證書的方式進行攻擊,用戶安全意識不強選擇繼續(xù)操作。

受SSL證書保護的網(wǎng)站,瀏覽器會自動查驗SSL證書狀態(tài),確認無誤瀏覽器才會正常顯示安全鎖標志。而一旦發(fā)現(xiàn)問題,瀏覽器會報各種不同的安全警告。

例如,SSL證書不是由瀏覽器中受信任的根證書頒發(fā)機構(gòu)頒發(fā)的,或者此證書已被吊銷,此證書網(wǎng)站的域名與根證書中的域名不一致,瀏覽器都會顯示安全警告,建議用戶關(guān)閉此網(wǎng)頁,不要繼續(xù)瀏覽該網(wǎng)站。

場景三:黑客偽造SSL證書,網(wǎng)站/APP只做了部分證書校驗,導致假證書蒙混過關(guān)。

例如,在證書校驗過程中只做了證書域名是否匹配,或者證書是否過期的驗證,而不是對整個證書鏈進行校驗,那么黑客就可以輕松生成任意域名的偽造證書進行中間人攻擊。

如何防御SSL中間人攻擊?

首先,真正的HTTPS是不存在SSL中間人攻擊的,因此首當其沖的是要確定網(wǎng)站有SSL證書的保護。

那么用戶如何判斷網(wǎng)站有沒有SSL證書保護呢?

1、可使用https:// 正常訪問。

2、瀏覽器顯示醒目安全鎖,點擊安全鎖,可查看網(wǎng)站真實身份。

3、使用了EV SSL證書的網(wǎng)站,顯示綠色地址欄。

如果用戶訪問的網(wǎng)站呈現(xiàn)以上特征,說明該網(wǎng)站已受SSL證書保護。

其次,采用權(quán)威CA機構(gòu)頒發(fā)的受信任的SSL證書。

數(shù)字證書頒發(fā)機構(gòu)CA是可信任的第三方,在驗證申請者的真實身份后才會頒發(fā)SSL證書,可以說是保護用戶信息安全的第一道關(guān)口。在國內(nèi)認證行業(yè)中,以天威誠信(iTrusChina)為代表的CA認證機構(gòu),占據(jù)著SSL證書市場的絕對份額。由天威誠信頒發(fā)的數(shù)字證書,瀏覽器都能夠正常識別,用戶可以放心使用。

最后,對SSL證書進行完整的證書鏈校驗。

如果是瀏覽器能識別的SSL證書,則需要檢查此SSL證書中的證書吊銷列表,如果此證書已經(jīng)被證書頒發(fā)機構(gòu)吊銷,則會顯示警告信息:“此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁,并且不要繼續(xù)瀏覽該網(wǎng)站。”

如果證書已經(jīng)過了有效期,一樣會顯示警告信息:“此網(wǎng)站出具的安全證書已過期或還未生效。安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁,并且不要繼續(xù)瀏覽該網(wǎng)站。”

如果證書在有效期內(nèi),還須檢查部署此SSL證書的網(wǎng)站域名是否與證書中的域名一致。

如果以上都沒有問題,瀏覽器還會查詢此網(wǎng)站是否已經(jīng)被列入欺詐網(wǎng)站黑名單,如果有問題也會顯示警告信息。

總而言之,企業(yè)能夠做到證書部署和校驗環(huán)節(jié)完整,個人用戶能夠認真觀察HTTPS安全標識,識別證書真實性、有效期等信息,HTTPS幾乎是無法攻破的,所謂的SSL中間人攻擊就是一個偽命題。

在網(wǎng)絡(luò)安全事件頻發(fā)的時代,部署HTTPS已是大勢所趨,它用復(fù)雜的傳輸方式降低網(wǎng)站被攻擊劫持的風險。當然,實現(xiàn)全網(wǎng)HTTPS不是一件立竿見影的事情,而是需要參與互聯(lián)網(wǎng)的每一家企業(yè)都承擔起網(wǎng)絡(luò)安全的責任,我們每一個個體都增強保護自我隱私的意識,從而共同締造一個安全的網(wǎng)絡(luò)空間。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦