HTTPS真的安全?

什么是HTTPS

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它的句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
但是HTTPS真的安全?

ssl欺诈

ssl欺诈,这里是指一种基于DNS劫持的ssl剥离技术。攻击者利用劫持到的DNS,实施中间人攻击。在自己与银行之间按照正常情况适用https,但是在用户与自己之间是http。此时,浏览器便会以不安全的 HTTP 与服务器建立连接!攻击者便可以使用类似 SSLStrip 的工具,将浏览器的 HTTP “转成” HTTPS,再发给银行服务器。

用户 <== HTTP ==> 攻击者 <== HTTPS ==> 银行

但总的来说现在证书还是无法伪造的,除非是正规证书的私钥被盗用。

但是ssl欺诈我们也需要有一定的防范意识。

当我们在一些隐私场景,例如网银登录、支付,登录贵重账号,请留意查看登录页面是否使用了HTTPS,浏览器的ssl信息是否正常或者接入一个安全的VPN。如果不是,请先询问工作人员,这样就可以避免由于ssl欺诈而造成的账号密码泄露。


小结

如今,越来越多网站,如各大网银,支付宝,百度,GitHub,淘宝已经部署了HTTPS,虽然,部署HTTPS会有更大的运维成本,但是这也是一种对客户的负责吧,未雨绸缪总比亡羊补牢要好。如今,部署HTTPS后作为客户的我们,也要对自己负责,留意一下登陆时转跳是不是HTTPS,是不是HTTP转跳到了HTTPS等等。

2 条评论

昵称

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

  1. Pingback: 2016暑假再见 – sl的回顾自述 – Sakura_Love

  2. 樱花之恋

    测试