http是一个已经被使用了20多年的古老协议。现在网络技术已经取得了很大的进步和发展,http已经逐渐被https所取代。在http中,它非常容易受到网络攻击,尤其是流量劫持,给广大网民带来了严重的损失。那么,用https取代http会变得安全吗?它会被流量劫持吗?
https能避免流量劫持吗?
能!但是,前提是必须使用受信任的SSL证书。
与简单的http代理不同,HTTPS服务需要由权威的证书颁发机构颁发的SSL证书才算有效。由于自签证书浏览器不认,并将给予严重警告。然而,当遇到“此网站的安全证书存在问题”的警告时,大多数用户并不知道是什么情况并继续访问,导致信任了黑客的伪造证书,HTTPS流量因此遭到劫持。
如果重要账户网站遇到这种情况,怎样都不应该点击继续,否则大门的钥匙可能会落入黑客手中。
这里所说的权威CA机构是指通过了WebTrust国际认证,根证书由微软预置,并受到微软等各种操作系统、主流移动设备和浏览器信任的CA机构。在中国,还有一个附加项,即要拿到工信部许可的CA牌照。只有这样的CA机构才有权颁发各种数字证书。
自签证书是指任意不被信任的机构或个人,自己签发的证书很容易被黑客伪造和替换。
全站https的重要性
情况一:从http页面跳转访问https页面
事实上,在 PC 端上网很少有人直接进入HTTPS网站。例如,支付宝网站,大多数都是从淘宝跳转过来,而淘宝仍然是使用不安全的HTTP协议。如果XSS被注入到淘宝网的页面中,屏蔽跳转到HTTPS的页面访问,并用HTTP取代,用户将永远无法进入安全的站点。
虽然HTTPS的字样没有出现在地址栏中,但域名看起来似乎是正确的,大多数用户会认为不是网络钓鱼网站,因此忽略了。只要入口页面不安全,后续页面再怎么安全也是没用的。
情况二:http页面重定向到https页面
有些用户通过输入网址进行访问。他们输入www.alipaly.com并进入其中。然而,浏览器不知道这是一个HTTPS网站,所以使用默认的HTTP访问它。然而,这个HTTP版的支付宝的确也存在,其唯一的功能是重定向到自己的HTTPS网站上。一旦劫持流量的中间人发现有重定向到HTTPS站点的,就拦下重定向命令,自己获取重定向后的站点内容,然后回复给用户。因此,用户总是访问HTTP站点,自然就可以无限劫持了。
国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Always on SSL(全站https)技术措施来确保用户机密信息和交易的安全,防止会话攻击和中间人攻击。
