5 web上https和ssl安全的嚴重問題

HTTPS使用SSL，提供身份驗證和安全性，所以你知道你連線到了正確的網站，沒有人可以竊聽你。不管怎樣，這就是理論。實際上，web上的SSL有點混亂。...

HTTPS使用SSL，提供身份驗證和安全性，所以你知道你連線到了正確的網站，沒有人可以竊聽你。不管怎樣，這就是理論。實際上，web上的SSL有點混亂。

這並不意味著HTTPS和SSL加密毫無價值，因為它們肯定比使用未加密的HTTP連線要好得多。即使在最壞的情況下，受損的HTTPS連線也只會像HTTP連線一樣不安全。

證書頒發機構的絕對數量

相關：什麼是HTTPS，我為什麼要關心？

您的瀏覽器具有內建的可信證書頒發機構列表。瀏覽器只信任這些證書頒發機構頒發的證書。如果你來https://example.com，位於的web伺服器example.com網站會向您提供一個SSL證書，您的瀏覽器會檢查以確保網站的SSL證書是為您頒發的example.com網站由受信任的證書頒發機構頒發。如果證書是為另一個域頒發的，或者不是由受信任的證書頒發機構頒發的，您將在瀏覽器中看到嚴重警告。

一個主要的問題是有這麼多的證書頒發機構，所以一個證書頒發機構的問題會影響到所有人。例如，您可能從VeriSign獲得域的SSL證書，但是有人可能會破壞或欺騙另一個證書頒發機構，並獲得域的證書。

證書頒發機構並不總能激發人們的信心

相關：瀏覽器如何驗證網站身份和防止冒名頂替

研究發現，一些證書頒發機構在頒發證書時甚至沒有盡到最低限度的盡職調查。他們已經為不需要證書的地址型別頒發了SSL證書，比如“localhost”，它總是表示本地計算機。2011年，EFF發現了2000多個由合法可信的證書頒發機構頒發的“localhost”證書。

如果可信證書頒發機構在沒有驗證地址是否有效的情況下頒發了這麼多證書，那麼很自然就會懷疑他們還犯了哪些錯誤。也許他們還向攻擊者頒發了他人網站的未經授權證書。

擴充套件驗證證書或EV證書試圖解決此問題。我們已經討論了SSL證書的問題以及EV證書如何解決這些問題。

證書頒發機構可能被迫頒發**書

因為有這麼多的證書頒發機構，他們遍佈世界各地，任何證書頒發機構都可以為任何網站頒發證書，**可以強制證書頒發機構為他們想要冒充的網站頒發SSL證書。

這可能發生在最近的法國，在那裡谷歌發現了一個流氓證書谷歌網站由法國證書頒發機構ANSSI頒發。當局本來會允許法國**或其他擁有它的人冒充谷歌網站，輕鬆實施中間人攻擊。ANSSI聲稱，該證書僅在一個私人網路上用於窺探該網路自己的使用者，而不是由法國**使用。即使這是真的，在頒發證書時也違反了ANSSI自己的政策。

完美的前向保密並非無處不在

許多網站不使用“完美前向保密”技術，這種技術會使加密更難破解。如果沒有完美的前向保密性，攻擊者可以捕獲大量加密資料，並用一個金鑰將其全部解密。我們知道美國****局和世界各地的其他****機構正在獲取這些資料。如果他們在幾年後發現了某個網站使用的加密金鑰，他們就可以用它來解密他們在該網站和所有連線到該網站的人之間收集的所有加密資料。

完美的前向保密透過為每個會話生成一個唯一的金鑰來防止這種情況。換句話說，每個會話都用不同的金鑰加密，因此不能用一個金鑰全部解鎖。這可以防止有人一次解密大量的加密資料。因為很少有網站使用這種安全功能，所以****機構將來更有可能解密所有這些資料。

中間人攻擊和unicode字元

相關：為什麼使用公共Wi-Fi網路會很危險，即使訪問加密的網站也是如此

遺憾的是，SSL仍然可以進行中間人攻擊。理論上，連線到公共Wi-Fi網路並訪問銀行網站應該是安全的。你知道連線是安全的，因為它是透過HTTPS的，HTTPS連線還可以幫助你驗證你是否真的連線到你的銀行。

實際上，透過公共Wi-Fi網路連線到銀行網站可能會很危險。有現成的解決方案可以讓惡意熱點對連線到它的人執行中間人攻擊。例如，一個Wi-Fi熱點可能會連線到銀行代表你，傳送資料來回，坐在中間。它可以偷偷地將你重定向到HTTP頁面，並代表你用HTTPS連線到銀行。

它也可以使用“同形異義字類似的HTTPS地址”，這是一個地址，看起來和你的銀行在螢幕上的相同，但實際上它使用特殊的Unicode字元，所以它是不同的。這最後也是最可怕的攻擊型別被稱為國際化域名同形異義詞攻擊。檢查Unicode字符集，您會發現這些字元看起來與拉丁字母表中使用的26個字元基本相同。也許o在谷歌網站你所連線到的角色實際上不是o，而是其他角色。

在討論使用公共Wi-Fi熱點的危險時，我們更詳細地討論了這一點。