HTTPS使用SSL,提供身份驗證和安全性,所以你知道你連線到了正確的網站,沒有人可以竊聽你。不管怎樣,這就是理論。實際上,web上的SSL有點混亂。
這並不意味著HTTPS和SSL加密毫無價值,因為它們肯定比使用未加密的HTTP連線要好得多。即使在最壞的情況下,受損的HTTPS連線也只會像HTTP連線一樣不安全。
相關:什麼是HTTPS,我為什麼要關心?
您的瀏覽器具有內建的可信證書頒發機構列表。瀏覽器只信任這些證書頒發機構頒發的證書。如果你來https://example.com,位於的web伺服器example.com網站會向您提供一個SSL證書,您的瀏覽器會檢查以確保網站的SSL證書是為您頒發的example.com網站由受信任的證書頒發機構頒發。如果證書是為另一個域頒發的,或者不是由受信任的證書頒發機構頒發的,您將在瀏覽器中看到嚴重警告。
一個主要的問題是有這麼多的證書頒發機構,所以一個證書頒發機構的問題會影響到所有人。例如,您可能從VeriSign獲得域的SSL證書,但是有人可能會破壞或欺騙另一個證書頒發機構,並獲得域的證書。
相關:瀏覽器如何驗證網站身份和防止冒名頂替
研究發現,一些證書頒發機構在頒發證書時甚至沒有盡到最低限度的盡職調查。他們已經為不需要證書的地址型別頒發了SSL證書,比如“localhost”,它總是表示本地計算機。2011年,EFF發現了2000多個由合法可信的證書頒發機構頒發的“localhost”證書。
如果可信證書頒發機構在沒有驗證地址是否有效的情況下頒發了這麼多證書,那麼很自然就會懷疑他們還犯了哪些錯誤。也許他們還向攻擊者頒發了他人網站的未經授權證書。
擴充套件驗證證書或EV證書試圖解決此問題。我們已經討論了SSL證書的問題以及EV證書如何解決這些問題。
因為有這麼多的證書頒發機構,他們遍佈世界各地,任何證書頒發機構都可以為任何網站頒發證書,**可以強制證書頒發機構為他們想要冒充的網站頒發SSL證書。
這可能發生在最近的法國,在那裡谷歌發現了一個流氓證書谷歌網站由法國證書頒發機構ANSSI頒發。當局本來會允許法國**或其他擁有它的人冒充谷歌網站,輕鬆實施中間人攻擊。ANSSI聲稱,該證書僅在一個私人網路上用於窺探該網路自己的使用者,而不是由法國**使用。即使這是真的,在頒發證書時也違反了ANSSI自己的政策。
許多網站不使用“完美前向保密”技術,這種技術會使加密更難破解。如果沒有完美的前向保密性,攻擊者可以捕獲大量加密資料,並用一個金鑰將其全部解密。我們知道美國****局和世界各地的其他****機構正在獲取這些資料。如果他們在幾年後發現了某個網站使用的加密金鑰,他們就可以用它來解密他們在該網站和所有連線到該網站的人之間收集的所有加密資料。
完美的前向保密透過為每個會話生成一個唯一的金鑰來防止這種情況。換句話說,每個會話都用不同的金鑰加密,因此不能用一個金鑰全部解鎖。這可以防止有人一次解密大量的加密資料。因為很少有網站使用這種安全功能,所以****機構將來更有可能解密所有這些資料。
相關:為什麼使用公共Wi-Fi網路會很危險,即使訪問加密的網站也是如此
遺憾的是,SSL仍然可以進行中間人攻擊。理論上,連線到公共Wi-Fi網路並訪問銀行網站應該是安全的。你知道連線是安全的,因為它是透過HTTPS的,HTTPS連線還可以幫助你驗證你是否真的連線到你的銀行。
實際上,透過公共Wi-Fi網路連線到銀行網站可能會很危險。有現成的解決方案可以讓惡意熱點對連線到它的人執行中間人攻擊。例如,一個Wi-Fi熱點可能會連線到銀行代表你,傳送資料來回,坐在中間。它可以偷偷地將你重定向到HTTP頁面,並代表你用HTTPS連線到銀行。
它也可以使用“同形異義字類似的HTTPS地址”,這是一個地址,看起來和你的銀行在螢幕上的相同,但實際上它使用特殊的Unicode字元,所以它是不同的。這最後也是最可怕的攻擊型別被稱為國際化域名同形異義詞攻擊。檢查Unicode字符集,您會發現這些字元看起來與拉丁字母表中使用的26個字元基本相同。也許o在谷歌網站你所連線到的角色實際上不是o,而是其他角色。
在討論使用公共Wi-Fi熱點的危險時,我們更詳細地討論了這一點。
當然,HTTPS在大多數情況下都可以正常工作。當你訪問咖啡店並連線到他們的Wi-Fi時,你不太可能遇到這樣一個聰明的中間人攻擊。真正的問題是HTTPS有一些嚴重的問題。大多數人相信它,也沒有意識到這些問題,但它遠不是完美的。
圖片來源:莎拉·喬伊
...和TLS之間有許多不同之處,本文將對此進行討論。SSL是指安全套接字層,是一種用於為伺服器和客戶端之間的連線提供安全性的協議。該協議使用加密和雜湊等安全機制為伺服器和客戶機之間的連線提供保密性、完整性和端點身...
...Mastodon例項,支援任何主題的對話,併為使用者提供一些安全和隱私,使其免受各種巨魔的攻擊。 ...
...過託管WordPress主機,提供者可以管理所有幕後工作,包括安全性、速度最佳化、更新和備份。安全支援也許是最重要的,因為當你開始一個新網站的時候,它很容易被忽視。 ...
您可能已經確保您的網站啟用了SSL,並且瀏覽器中漂亮的安全掛鎖是綠色的。然而,您可能已經忘記了HTTP的小安全人httpstrict Transport security(HSTS)。 ...
從2018年7月起,谷歌開始將你的網站標記為“不安全”,任何人使用谷歌Chrome訪問你的網站。如果您不想丟失流量,最好確保在您的站點上設定SSL,以便人們可以透過HTTPS協議訪問它。 ...
BitDefender是市場上最好的線上安全套件之一,但這並不意味著它不是沒有問題的。考慮到它必須處理的大量應用程式和用途,這裡和那裡肯定會有一些問題。 ...
...在位址列中,您將看到“HTTPS”——“S”表示我們有一個安全套接字層(SSL)證書,這意味著您的連線是安全的。你應該看到一個在任何網站,要求個人資料,特別是支付資訊。事實上,這些天,你應該到處都能看到。 ...
... 訪問您的網站,它現在應該在SSL中,沒有任何關於不安全網站的瀏覽器警告。 ...