現(xiàn)今社會(huì)早已步入了互聯(lián)網(wǎng)+時(shí)代，以個(gè)人信息/隱私為中心，這個(gè)時(shí)代為每個(gè)參與信息交互的個(gè)體編織了一張大網(wǎng)，網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)構(gòu)成了我們的生活。當(dāng)打開銀行網(wǎng)頁的瞬間，你的銀行憑證、E-mall、家庭住址、聯(lián)系人信息都已在黑客的股掌之中，而我們還后知后覺。其實(shí)，這就是傳說的“中間人攻擊”，通過攔截通信數(shù)據(jù)，進(jìn)行數(shù)據(jù)篡改和嗅探。

14年10月，微軟、蘋果iCloud、雅虎等遭到大面積的SSL中間人攻擊，是國際上非常嚴(yán)重的中間人攻擊事件。我們國內(nèi)的大部分用戶的隱私也一覽無遺，用戶在這些網(wǎng)站上輸入及存儲(chǔ)在云端的私房照片、帳號(hào)密碼信息等都被黑客復(fù)制。

[[261320]]

問題來了，SSL安全證書原本是保障數(shù)據(jù)信息的完整性和保密性的，為什么還會(huì)有SSL中間人攻擊呢？難道https也無法保證網(wǎng)絡(luò)通信安全？

SSL中間人攻擊的三大場景

其實(shí)，SSL是十分安全的，要想攻破沒那么簡單。SSL證書是一種安全協(xié)議，是為網(wǎng)絡(luò)通信提供安全和數(shù)據(jù)的完整性的，它可以驗(yàn)證參與通訊的一方或雙方使用的證書是不是由權(quán)威可信的數(shù)字證書認(rèn)證機(jī)構(gòu)頒發(fā)的，并且能執(zhí)行雙向身份認(rèn)證。

我們所遇到的SSL中間人攻擊方式是通過剝離、偽造SSL安全證書來達(dá)成的。也可以理解為，當(dāng)遇到中間人攻擊的時(shí)候，問題并不在SSL協(xié)議和SSL安全證書本身，而是在于證書的驗(yàn)證環(huán)節(jié)。

不過中間人攻擊還有一個(gè)前提條件，就是沒有嚴(yán)格對(duì)證書進(jìn)行校檢和認(rèn)證的信任偽造證書。因此，以下是最容易被用戶忽視的驗(yàn)證環(huán)節(jié)：

場景一：網(wǎng)站無任何防護(hù)措施，沒有部署SSL安全證書，處于http的裸奔狀態(tài)。這種場景下，網(wǎng)絡(luò)黑客們可以直接通過網(wǎng)絡(luò)抓包的方式，明文獲取正在傳輸中的數(shù)據(jù)。

場景二：網(wǎng)絡(luò)黑客們通過偽造SSL證書進(jìn)行攻擊，這時(shí)企業(yè)安全意識(shí)薄弱選擇據(jù)需操作。受到SSL安全證書保護(hù)的網(wǎng)站，瀏覽器會(huì)自動(dòng)檢查SSL證書的狀態(tài)，確認(rèn)無誤瀏覽器后才會(huì)正常顯示安全鎖標(biāo)志。并且一旦發(fā)現(xiàn)問題，瀏覽器會(huì)發(fā)出各種不同的安全警告。

場景三：網(wǎng)絡(luò)黑客偽造SSL證書，網(wǎng)站和APP只做了部分證書校驗(yàn)，導(dǎo)致假證書渾水摸魚。當(dāng)證書校驗(yàn)過程中只做了證書域名是不是匹配，或證書是不是過期的驗(yàn)證，卻不是對(duì)整個(gè)證書鏈進(jìn)行校驗(yàn)，那么黑客們即可輕松生成任意域名的偽造證書進(jìn)行中間人攻擊。

怎么預(yù)防SSL中間人攻擊？

首先我們要明白一個(gè)事情，真正的https是不存在SSL中間人攻擊的，所以我們首當(dāng)其沖的是要確定網(wǎng)上是否部署了SSL安全證書的保護(hù)。

用戶如何斷定網(wǎng)站是否有SSL證書保護(hù)呢？

1、可使用https:// 正常訪問；

2、瀏覽器左上角有醒目安全鎖標(biāo)識(shí)，點(diǎn)擊安全鎖，即可看到網(wǎng)站的真實(shí)身份；如果EV型的SSL證書網(wǎng)站，會(huì)顯示綠色地址欄；

3、對(duì)SSL進(jìn)行完整的證書鏈校檢，正規(guī)的數(shù)字證書頒發(fā)機(jī)構(gòu)，在檢驗(yàn)申請(qǐng)者的真實(shí)身份后才會(huì)給企業(yè)頒發(fā)SSL安全證書，這便意味著保護(hù)用戶信息安全的第一道關(guān)卡。 在數(shù)字證書行業(yè)中，數(shù)安時(shí)代GDCA下發(fā)的證書占據(jù)著SSL安全證書市場的一定份額，通過數(shù)安時(shí)代GDCA頒發(fā)的證書，在每個(gè)瀏覽器中都能識(shí)別的到的，用戶可以放心的使用。

一個(gè)網(wǎng)站如果具備以上三點(diǎn)特征，說明該網(wǎng)站已經(jīng)受到SSL安全證書的保護(hù)，最后要采用權(quán)威CA機(jī)構(gòu)頒發(fā)的受信任的SSL證書。

當(dāng)瀏覽器可以識(shí)別SSL證書，便檢查此SSL證書中的證書吊銷列表，如果該證書已經(jīng)被證書頒發(fā)機(jī)構(gòu)吊銷，會(huì)顯示“該組織的證書已被吊銷，安全證書問題會(huì)顯示企圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁，不要繼續(xù)瀏覽該網(wǎng)站。”

如果證書已經(jīng)過了有效期，一樣會(huì)顯示與被吊銷SSL證書一樣的警告信息。如果證書在有效期內(nèi)，還須檢查部署此SSL證書的網(wǎng)站域名是否與證書中的域名一致。

以上都沒有問題的情況下，瀏覽器還會(huì)查詢網(wǎng)站是不是已經(jīng)被列入欺詐網(wǎng)站黑名單，有問題的話也會(huì)顯示警告信息。

綜合以上所講，當(dāng)企業(yè)可以做到證書的部署和校檢環(huán)節(jié)的完整；個(gè)人可以做到認(rèn)證觀察https的標(biāo)識(shí)并識(shí)別它的真實(shí)性和有效性等信息，https基本上是無法被攻擊的，而SSL中間人攻擊就會(huì)成為一個(gè)偽命題。