部署SSL證書后就一定安全嗎?不,你還需要……
現(xiàn)今社會早已步入了互聯(lián)網(wǎng)+時代,以個人信息/隱私為中心,這個時代為每個參與信息交互的個體編織了一張大網(wǎng),網(wǎng)絡(luò)上的每個節(jié)點構(gòu)成了我們的生活。當(dāng)打開銀行網(wǎng)頁的瞬間,你的銀行憑證、E-mall、家庭住址、聯(lián)系人信息都已在黑客的股掌之中,而我們還后知后覺。其實,這就是傳說的“中間人攻擊”,通過攔截通信數(shù)據(jù),進(jìn)行數(shù)據(jù)篡改和嗅探。
14年10月,微軟、蘋果iCloud、雅虎等遭到大面積的SSL中間人攻擊,是國際上非常嚴(yán)重的中間人攻擊事件。我們國內(nèi)的大部分用戶的隱私也一覽無遺,用戶在這些網(wǎng)站上輸入及存儲在云端的私房照片、帳號密碼信息等都被黑客復(fù)制。
問題來了,SSL安全證書原本是保障數(shù)據(jù)信息的完整性和保密性的,為什么還會有SSL中間人攻擊呢?難道https也無法保證網(wǎng)絡(luò)通信安全?
SSL中間人攻擊的三大場景
其實,SSL是十分安全的,要想攻破沒那么簡單。SSL證書是一種安全協(xié)議,是為網(wǎng)絡(luò)通信提供安全和數(shù)據(jù)的完整性的,它可以驗證參與通訊的一方或雙方使用的證書是不是由權(quán)威可信的數(shù)字證書認(rèn)證機構(gòu)頒發(fā)的,并且能執(zhí)行雙向身份認(rèn)證。
我們所遇到的SSL中間人攻擊方式是通過剝離、偽造SSL安全證書來達(dá)成的。也可以理解為,當(dāng)遇到中間人攻擊的時候,問題并不在SSL協(xié)議和SSL安全證書本身,而是在于證書的驗證環(huán)節(jié)。
不過中間人攻擊還有一個前提條件,就是沒有嚴(yán)格對證書進(jìn)行校檢和認(rèn)證的信任偽造證書。因此,以下是最容易被用戶忽視的驗證環(huán)節(jié):
場景一:網(wǎng)站無任何防護(hù)措施,沒有部署SSL安全證書,處于http的裸奔狀態(tài)。這種場景下,網(wǎng)絡(luò)黑客們可以直接通過網(wǎng)絡(luò)抓包的方式,明文獲取正在傳輸中的數(shù)據(jù)。
場景二:網(wǎng)絡(luò)黑客們通過偽造SSL證書進(jìn)行攻擊,這時企業(yè)安全意識薄弱選擇據(jù)需操作。受到SSL安全證書保護(hù)的網(wǎng)站,瀏覽器會自動檢查SSL證書的狀態(tài),確認(rèn)無誤瀏覽器后才會正常顯示安全鎖標(biāo)志。并且一旦發(fā)現(xiàn)問題,瀏覽器會發(fā)出各種不同的安全警告。
場景三:網(wǎng)絡(luò)黑客偽造SSL證書,網(wǎng)站和APP只做了部分證書校驗,導(dǎo)致假證書渾水摸魚。當(dāng)證書校驗過程中只做了證書域名是不是匹配,或證書是不是過期的驗證,卻不是對整個證書鏈進(jìn)行校驗,那么黑客們即可輕松生成任意域名的偽造證書進(jìn)行中間人攻擊。
怎么預(yù)防SSL中間人攻擊?
首先我們要明白一個事情,真正的https是不存在SSL中間人攻擊的,所以我們首當(dāng)其沖的是要確定網(wǎng)上是否部署了SSL安全證書的保護(hù)。
用戶如何斷定網(wǎng)站是否有SSL證書保護(hù)呢?
1、可使用https:// 正常訪問;
2、瀏覽器左上角有醒目安全鎖標(biāo)識,點擊安全鎖,即可看到網(wǎng)站的真實身份;如果EV型的SSL證書網(wǎng)站,會顯示綠色地址欄;
3、對SSL進(jìn)行完整的證書鏈校檢,正規(guī)的數(shù)字證書頒發(fā)機構(gòu),在檢驗申請者的真實身份后才會給企業(yè)頒發(fā)SSL安全證書,這便意味著保護(hù)用戶信息安全的第一道關(guān)卡。 在數(shù)字證書行業(yè)中,數(shù)安時代GDCA下發(fā)的證書占據(jù)著SSL安全證書市場的一定份額,通過數(shù)安時代GDCA頒發(fā)的證書,在每個瀏覽器中都能識別的到的,用戶可以放心的使用。
一個網(wǎng)站如果具備以上三點特征,說明該網(wǎng)站已經(jīng)受到SSL安全證書的保護(hù),最后要采用權(quán)威CA機構(gòu)頒發(fā)的受信任的SSL證書。
當(dāng)瀏覽器可以識別SSL證書,便檢查此SSL證書中的證書吊銷列表,如果該證書已經(jīng)被證書頒發(fā)機構(gòu)吊銷,會顯示“該組織的證書已被吊銷,安全證書問題會顯示企圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁,不要繼續(xù)瀏覽該網(wǎng)站。”
如果證書已經(jīng)過了有效期,一樣會顯示與被吊銷SSL證書一樣的警告信息。如果證書在有效期內(nèi),還須檢查部署此SSL證書的網(wǎng)站域名是否與證書中的域名一致。
以上都沒有問題的情況下,瀏覽器還會查詢網(wǎng)站是不是已經(jīng)被列入欺詐網(wǎng)站黑名單,有問題的話也會顯示警告信息。
綜合以上所講,當(dāng)企業(yè)可以做到證書的部署和校檢環(huán)節(jié)的完整;個人可以做到認(rèn)證觀察https的標(biāo)識并識別它的真實性和有效性等信息,https基本上是無法被攻擊的,而SSL中間人攻擊就會成為一個偽命題。