當(dāng)我們?cè)诳Х瑞^連上WiFi打開(kāi)網(wǎng)頁(yè)和郵箱時(shí),殊不知有人正在監(jiān)視著我們的各種網(wǎng)絡(luò)活動(dòng)。在打開(kāi)賬戶網(wǎng)頁(yè)的一瞬間,也許黑客就已經(jīng)盜取了我們的銀行憑證、家庭住址、電子郵件和聯(lián)系人信息,而這一切我們卻毫不知情。這是一種網(wǎng)絡(luò)上常見(jiàn)的“中間人攻擊”(Man-in-the-Middle Attack, MITM),通過(guò)攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù),并進(jìn)行數(shù)據(jù)篡改和嗅探。
2014年10月,國(guó)內(nèi)曾出現(xiàn)過(guò)非常嚴(yán)重的中間人攻擊事件,微軟、蘋(píng)果iCloud、雅虎等知名企業(yè)都遭受了大面積SSL中間人攻擊,其中國(guó)地區(qū)大部分用戶隱私暴露無(wú)遺,用戶在這些網(wǎng)站上輸入及存儲(chǔ)在云端的私房照片、帳號(hào)密碼等都能夠被黑客復(fù)制。
很多不知情的用戶可能會(huì)問(wèn),SSL不就是為了保障HTTP的保密性和完整性,提供端到端安全服務(wù)的嗎?為什么還會(huì)發(fā)生SSL中間人攻擊,難道HTTPS都不能保證網(wǎng)絡(luò)通信安全?
SSL中間人攻擊的三大場(chǎng)景
事實(shí)上,SSL被設(shè)計(jì)得十分安全,想要攻破并不容易。SSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,它可以驗(yàn)證參與通訊的一方或雙方使用的證書(shū)是否由權(quán)威受信任的數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)頒發(fā),并且能執(zhí)行雙向身份認(rèn)證。
而我們現(xiàn)在常見(jiàn)的SSL中間人攻擊方式都是通過(guò)偽造、剝離SSL證書(shū)來(lái)實(shí)現(xiàn)的。換句話說(shuō),一旦發(fā)生SSL中間人攻擊事件,問(wèn)題并不出在SSL協(xié)議或者SSL證書(shū)本身,而是出在SSL證書(shū)的驗(yàn)證環(huán)節(jié)。中間人攻擊的前提條件是,沒(méi)有嚴(yán)格對(duì)證書(shū)進(jìn)行校驗(yàn),或者人為的信任偽造證書(shū)。因此以下場(chǎng)景正是最容易被用戶忽視的證書(shū)驗(yàn)證環(huán)節(jié):
場(chǎng)景一:網(wǎng)站沒(méi)有使用SSL證書(shū),網(wǎng)站處于HTTP明文傳輸?shù)?ldquo;裸奔”狀態(tài)。這種情況黑客可直接通過(guò)網(wǎng)絡(luò)抓包的方式,明文獲取傳輸數(shù)據(jù)。
場(chǎng)景二:黑客通過(guò)偽造SSL證書(shū)的方式進(jìn)行攻擊,用戶安全意識(shí)不強(qiáng)選擇繼續(xù)操作。
受SSL證書(shū)保護(hù)的網(wǎng)站,瀏覽器會(huì)自動(dòng)查驗(yàn)SSL證書(shū)狀態(tài),確認(rèn)無(wú)誤瀏覽器才會(huì)正常顯示安全鎖標(biāo)志。而一旦發(fā)現(xiàn)問(wèn)題,瀏覽器會(huì)報(bào)各種不同的安全警告。
例如,SSL證書(shū)不是由瀏覽器中受信任的根證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的,或者此證書(shū)已被吊銷,此證書(shū)網(wǎng)站的域名與根證書(shū)中的域名不一致,瀏覽器都會(huì)顯示安全警告,建議用戶關(guān)閉此網(wǎng)頁(yè),不要繼續(xù)瀏覽該網(wǎng)站。
場(chǎng)景三:黑客偽造SSL證書(shū),網(wǎng)站/APP只做了部分證書(shū)校驗(yàn),導(dǎo)致假證書(shū)蒙混過(guò)關(guān)。
例如,在證書(shū)校驗(yàn)過(guò)程中只做了證書(shū)域名是否匹配,或者證書(shū)是否過(guò)期的驗(yàn)證,而不是對(duì)整個(gè)證書(shū)鏈進(jìn)行校驗(yàn),那么黑客就可以輕松生成任意域名的偽造證書(shū)進(jìn)行中間人攻擊。
如何防御SSL中間人攻擊?
首先,真正的HTTPS是不存在SSL中間人攻擊的,因此首當(dāng)其沖的是要確定網(wǎng)站有SSL證書(shū)的保護(hù)。
那么用戶如何判斷網(wǎng)站有沒(méi)有SSL證書(shū)保護(hù)呢?
1、可使用https:// 正常訪問(wèn)。
2、瀏覽器顯示醒目安全鎖,點(diǎn)擊安全鎖,可查看網(wǎng)站真實(shí)身份。
3、使用了EV SSL證書(shū)的網(wǎng)站,顯示綠色地址欄。
如果用戶訪問(wèn)的網(wǎng)站呈現(xiàn)以上特征,說(shuō)明該網(wǎng)站已受SSL證書(shū)保護(hù)。
其次,采用權(quán)威CA機(jī)構(gòu)頒發(fā)的受信任的SSL證書(shū)。
數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)CA是可信任的第三方,在驗(yàn)證申請(qǐng)者的真實(shí)身份后才會(huì)頒發(fā)SSL證書(shū),可以說(shuō)是保護(hù)用戶信息安全的第一道關(guān)口。在國(guó)內(nèi)認(rèn)證行業(yè)中,以天威誠(chéng)信(iTrusChina)為代表的CA認(rèn)證機(jī)構(gòu),占據(jù)著SSL證書(shū)市場(chǎng)的絕對(duì)份額。由天威誠(chéng)信頒發(fā)的數(shù)字證書(shū),瀏覽器都能夠正常識(shí)別,用戶可以放心使用。
最后,對(duì)SSL證書(shū)進(jìn)行完整的證書(shū)鏈校驗(yàn)。
如果是瀏覽器能識(shí)別的SSL證書(shū),則需要檢查此SSL證書(shū)中的證書(shū)吊銷列表,如果此證書(shū)已經(jīng)被證書(shū)頒發(fā)機(jī)構(gòu)吊銷,則會(huì)顯示警告信息:“此組織的證書(shū)已被吊銷。安全證書(shū)問(wèn)題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè),并且不要繼續(xù)瀏覽該網(wǎng)站。”
如果證書(shū)已經(jīng)過(guò)了有效期,一樣會(huì)顯示警告信息:“此網(wǎng)站出具的安全證書(shū)已過(guò)期或還未生效。安全證書(shū)問(wèn)題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè),并且不要繼續(xù)瀏覽該網(wǎng)站。”
如果證書(shū)在有效期內(nèi),還須檢查部署此SSL證書(shū)的網(wǎng)站域名是否與證書(shū)中的域名一致。
如果以上都沒(méi)有問(wèn)題,瀏覽器還會(huì)查詢此網(wǎng)站是否已經(jīng)被列入欺詐網(wǎng)站黑名單,如果有問(wèn)題也會(huì)顯示警告信息。
總而言之,企業(yè)能夠做到證書(shū)部署和校驗(yàn)環(huán)節(jié)完整,個(gè)人用戶能夠認(rèn)真觀察HTTPS安全標(biāo)識(shí),識(shí)別證書(shū)真實(shí)性、有效期等信息,HTTPS幾乎是無(wú)法攻破的,所謂的SSL中間人攻擊就是一個(gè)偽命題。
在網(wǎng)絡(luò)安全事件頻發(fā)的時(shí)代,部署HTTPS已是大勢(shì)所趨,它用復(fù)雜的傳輸方式降低網(wǎng)站被攻擊劫持的風(fēng)險(xiǎn)。當(dāng)然,實(shí)現(xiàn)全網(wǎng)HTTPS不是一件立竿見(jiàn)影的事情,而是需要參與互聯(lián)網(wǎng)的每一家企業(yè)都承擔(dān)起網(wǎng)絡(luò)安全的責(zé)任,我們每一個(gè)個(gè)體都增強(qiáng)保護(hù)自我隱私的意識(shí),從而共同締造一個(gè)安全的網(wǎng)絡(luò)空間。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 為什么年輕人不愛(ài)換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
- 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動(dòng)未來(lái)”環(huán)保公益圖書(shū)館落地貴州山區(qū)小學(xué)
- 窺見(jiàn)“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場(chǎng)定位清晰,攜手共進(jìn),核心技術(shù)決定未來(lái)
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。