您的位置: 首页 > 智能科技 >文章

HTTPS也不安全?No,只因没有避开这个误区-ITBEAR科技资讯

  当我们在咖啡馆连上WiFi关上网页和邮箱时,殊不知有人正在监视着我们的各种网络活动。在关上账户网页的一瞬间,也许黑客就已经盗取了我们的银行凭证、家庭住址、电子邮件和联系人信息,而这一切我们却毫不知情。这是一种网络上少见的“中间人反击”(Man-in-the-Middle Attack, MITM),通过拦截正常的网络通信数据,并展开数据伪造和嗅探。

  2014年10月,国内曾经常出现过非常相当严重的中间人反击事件,微软、苹果iCloud、雅虎等知名企业都遭受了大面积SSL中间人攻击,其中国地区大部分用户隐私暴露无遗,用户在这些网站上输入及存储在云端的私房照片、帐号密码等都需要被黑客拷贝。

  很多不知情的用户可能会问,SSL不就是为了确保HTTP的保密性和完整性,获取端到端安全服务的吗?为什么还不会发生SSL中间人攻击,难道HTTPS都不能确保网络通信安全?

  SSL中间人攻击的三大场景

  事实上,SSL被设计得十分安全,想攻陷并不容易。SSL是为网络通信提供安全及数据完整性的一种安全协议,它可以验证参与通讯的一方或双方用于的证书是否由权威不受信任的数字证书认证机构授予,并且能执行双向身份认证。

  而我们现在常见的SSL中间人攻击方式都是通过伪造、挤压SSL证书来构建的。换句话说,一旦再次发生SSL中间人反击事件,问题并不出在SSL协议或者SSL证书本身,而是出有在SSL证书的验证环节。中间人攻击的前提条件是,没有严格对证书进行校验,或者人为的信任假造证书,因此以下场景正是最更容易被用户忽略的证书验证环节:

  场景一:网站没有用于SSL证书,网站处于HTTP明文传输的“裸奔”状态。这种情况黑客可直接通过网络抓包的方式,明文获取传输数据。

  场景二:黑客通过伪造SSL证书的方式进行反击,用户安全意识不强自由选择之后操作。

  受SSL证书保护的网站,浏览器不会自动查验SSL证书状态,确认正确性浏览器才不会正常表明安全锁住标志。而一旦发现问题,浏览器不会报各种有所不同的安全警告。

  例如,SSL证书不是由浏览器中不受信任的六根证书授予机构授予的,或者此证书已被吊销,此证书网站的域名与根证书中的域名不一致,浏览器都会表明安全警告,建议用户重开此网页,不要之后网页该网站。

  场景三:黑客伪造SSL证书,网站/APP只做到了部分证书校验,造成假证书蒙混过关。

  例如,在证书校验过程中只做了证书域名是否给定,或者证书否过期的检验,而不是对整个证书链进行校验,那么黑客就可以精彩分解给定域名的伪造证书进行中间人反击。

  如何防卫SSL中间人反击?

  首先,真正的HTTPS是不存在SSL中间人攻击的,因此首当其冲的是要确定网站有SSL证书的保护。

  那么用户如何辨别网站是不是SSL证书维护呢?

  1、可使用https:// 正常访问。

  2、浏览器表明显眼安全锁,页面安全锁,可查看网站真实身份。

  3、使用了EV SSL证书的网站,显示绿色地址栏。

  如果用户采访的网站呈现出以上特征,解释该网站已不受SSL证书保护。

  其次,使用权威CA机构授予的不受信任的SSL证书。

  数字证书颁发机构CA是可信任的第三方,在验证申请者的真实身份后才会授予SSL证书,可以说道是维护用户信息安全的第一道关口。在国内认证行业中,以天威诚信(iTrusChina)为代表的CA认证机构,占有着SSL证书市场的绝对份额。由天威诚信颁发的数字证书,浏览器都能够正常辨识,用户可以放心使用。

  最后,对SSL证书进行原始的证书链校验。

  如果是浏览器能辨识的SSL证书,则需要检查此SSL证书中的证书吊销列表,如果此证书已经被证书颁发机构吊销,则会表明警告信息:“此组织的证书已被吊销。安全证书问题有可能表明试图愚弄您或截获您向服务器发送的数据。建议关闭此网页,并且不要之后网页该网站。”

  如果证书已经过了有效期,一样会表明警告信息:“此网站开具的安全证书已过期或还未生效。安全证书问题有可能显示企图愚弄您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续网页该网站。”

  如果证书在有效期内,还须检查部署此SSL证书的网站域名是否与证书中的域名一致。

  如果以上都没问题,浏览器还会查询此网站否已经被列为欺诈网站黑名单,如果有问题也不会显示警告信息。

  总而言之,企业能够做到证书部署和校验环节完整,个人用户能够严肃观察HTTPS安全标识,识别证书真实性、有效期等信息,HTTPS几乎是无法攻破的,所谓的SSL中间人反击就是一个伪命题。

  在网络安全事件频发的时代,部署HTTPS已是大势所趋,它用简单的传输方式降低网站被反击劫持的风险。当然,实现全网HTTPS不是一件立竿见影的事情,而是必须参与互联网的每一家企业都承担起网络安全的责任,我们每一个个体都强化保护自我隐私的意识,从而共同缔造一个安全的网络空间。

特别警告:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞成其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或允诺,并请自行核实相关内容。本站不分担此类作品侵权行为的必要责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将不会在24小时内处理完毕。