2022-10-10 分類(lèi): 網(wǎng)站建設(shè)
大家好,我是軒轅。
上周,微信里有個(gè)小伙伴兒給我發(fā)來(lái)了消息:
隨后,我讓他截了一個(gè)完整的圖,我一瞅,是HTTPS啊!沒(méi)用HTTP!再一瞅,是www.baidu.com啊,不是什么山寨網(wǎng)站!
我瞬間明白了些什么,讓他點(diǎn)擊了一下瀏覽器地址欄中那個(gè)表示安全的小鎖標(biāo)志,查看了一下網(wǎng)站使用的HTTPS證書(shū)。
果然不出我之所料,證書(shū)不是官方的,官方的證書(shū)長(zhǎng)這樣:
而那個(gè)假的證書(shū)是他們公司簽發(fā)的,看來(lái),他們公司開(kāi)始對(duì)HTTPS流量做解析了,這家伙瞬間瑟瑟發(fā)抖···
今天就來(lái)跟大家聊一下:HTTPS真的安全嗎?
現(xiàn)如今大家每天上網(wǎng)基本上看到的都是使用了HTTPS的網(wǎng)站,有時(shí)候特意想找一個(gè)HTTP的網(wǎng)站來(lái)讓新同學(xué)練習(xí)抓包分析都不好找。
但在幾年前,差不多我剛剛開(kāi)始畢業(yè)工作(2014年)的時(shí)候,情況卻不是這樣的,網(wǎng)絡(luò)上還有大量使用HTTP的網(wǎng)站。
大家知道,HTTP是超文本傳輸協(xié)議,數(shù)據(jù)內(nèi)容在網(wǎng)絡(luò)中都是明文傳輸?shù)?,非常不安全。同在一個(gè)宿舍里的同學(xué),隨便搞一個(gè)中間人劫持就能監(jiān)聽(tīng)到你瀏覽了什么視頻學(xué)習(xí)網(wǎng)站。
不僅如此,上網(wǎng)鏈路中包括寢室路由器在內(nèi)的各級(jí)網(wǎng)絡(luò)設(shè)備都可以探知你的數(shù)據(jù),甚至給你插入小廣告(其實(shí)這種現(xiàn)象現(xiàn)在依然存在,尤其是很多醫(yī)院、學(xué)校的網(wǎng)站,還是很多都是用HTTP,特別容易粘上小廣告),一不小心就跳到了廣告頁(yè)面,真是防不勝防。
不久,網(wǎng)站HTTPS化的浪潮很快打來(lái),通過(guò)加密這一最簡(jiǎn)單直接的辦法,將瀏覽器上網(wǎng)過(guò)程中傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù),上網(wǎng)內(nèi)容的安全性得到了極大的提升。
我之前寫(xiě)過(guò)一篇故事深入淺出的描述了HTTPS的工作原理,還不懂的小伙伴兒可以學(xué)習(xí)一下,我經(jīng)常也會(huì)在面試中考察候選人這個(gè)問(wèn)題,這可以迅速幫助我知道對(duì)方對(duì)HTTPS的了解程度。
為了一個(gè)HTTPS,瀏覽器操碎了心···
咱們通過(guò)下面的快問(wèn)快答環(huán)節(jié)來(lái)簡(jiǎn)單總結(jié)一下。
看到了吧,HTTPS能夠安全的基石是非對(duì)稱(chēng)加密,非對(duì)稱(chēng)加密建立的前提是對(duì)方真的是對(duì)方,如果這一個(gè)前提不成立,后面的一切都是假的!
網(wǎng)站服務(wù)器使用HTTPS進(jìn)行通信時(shí),會(huì)提供一個(gè)用于證明身份的證書(shū),這個(gè)證書(shū),將會(huì)由某個(gè)受信任的機(jī)構(gòu)簽發(fā)。
瀏覽器拿到這個(gè)證書(shū)后,會(huì)校驗(yàn)證書(shū)的合法性,去檢查證書(shū)的簽發(fā)機(jī)構(gòu)是不是受信任的。
那如何去檢查簽發(fā)機(jī)構(gòu)是不是受信任的呢?
答案是繼續(xù)檢查簽發(fā)機(jī)構(gòu)的證書(shū),看看是誰(shuí)給他簽發(fā)的,一直這樣追溯,直到找到最終的簽發(fā)者,看看最終的簽發(fā)者的證書(shū)是不是安裝在操作系統(tǒng)的受信任的根證書(shū)列表中。
是不是已經(jīng)暈了?沒(méi)關(guān)系,我們來(lái)用百度的那個(gè)證書(shū)為例,看一下這個(gè)過(guò)程,你就知道什么意思了。
你可以通過(guò)點(diǎn)擊證書(shū)路徑tab頁(yè)面查看證書(shū)的簽發(fā)鏈條:
通過(guò)這個(gè)樹(shù)形結(jié)構(gòu)圖,可以清晰地看到:
baidu.com這個(gè)域名使用的證書(shū),是由名為GlobalSign Organization Validation CA - SHA256 - G2的頒發(fā)者簽發(fā)的。
而這個(gè)頒發(fā)者的證書(shū),又是由GlobalSign Root CA - R1簽發(fā)的。
瀏覽器拿到這個(gè)最頂層的簽發(fā)證書(shū)后,去操作系統(tǒng)安裝的受信任的根證書(shū)列表中一找,嘿,還真讓它找著了!
圖片
于是,瀏覽器信任了這個(gè)證書(shū),繼續(xù)接下來(lái)的通信過(guò)程。
如果找不到,瀏覽器就會(huì)彈出不受信任的消息,提醒用戶(hù)要當(dāng)心了!
而如果,有人在你的電腦中安裝了一個(gè)自己的根證書(shū)進(jìn)去,騙過(guò)瀏覽器,這一切安全的根基也就傾覆了。
而文章開(kāi)頭那個(gè)小伙伴兒之所以彈出了那個(gè)窗口,多半是根證書(shū)還沒(méi)安裝進(jìn)去,就開(kāi)始了HTTPS劫持。因?yàn)橹貑⒅?,便再也沒(méi)有這些提示信息,一切如往常一樣風(fēng)平浪靜,只不過(guò)上網(wǎng)的流量已經(jīng)被公司悉數(shù)掌握。
看到這里,還不趕緊點(diǎn)開(kāi)瀏覽器地址欄的那把鎖,看看證書(shū)的簽發(fā)機(jī)構(gòu)是不是你們公司?
如果是,那恭喜你了~
最后,給大家留一個(gè)思考題:微信會(huì)受到這種HTTPS劫持的影響嗎? 歡迎在評(píng)論區(qū)發(fā)表你的看法!
網(wǎng)站題目:用了HTTPS,沒(méi)想到還是被監(jiān)控了!
文章網(wǎng)址:http://www.rwnh.cn/news20/204170.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站收錄、商城網(wǎng)站、云服務(wù)器、微信小程序、網(wǎng)站導(dǎo)航
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容