偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

部署SSL證書后就一定安全嗎?不,你還需要……

安全 數(shù)據(jù)安全
現(xiàn)今社會早已步入了互聯(lián)網(wǎng)+時代,以個人信息/隱私為中心,這個時代為每個參與信息交互的個體編織了一張大網(wǎng),網(wǎng)絡(luò)上的每個節(jié)點構(gòu)成了我們的生活。

 現(xiàn)今社會早已步入了互聯(lián)網(wǎng)+時代,以個人信息/隱私為中心,這個時代為每個參與信息交互的個體編織了一張大網(wǎng),網(wǎng)絡(luò)上的每個節(jié)點構(gòu)成了我們的生活。當(dāng)打開銀行網(wǎng)頁的瞬間,你的銀行憑證、E-mall、家庭住址、聯(lián)系人信息都已在黑客的股掌之中,而我們還后知后覺。其實,這就是傳說的“中間人攻擊”,通過攔截通信數(shù)據(jù),進(jìn)行數(shù)據(jù)篡改和嗅探。

14年10月,微軟、蘋果iCloud、雅虎等遭到大面積的SSL中間人攻擊,是國際上非常嚴(yán)重的中間人攻擊事件。我們國內(nèi)的大部分用戶的隱私也一覽無遺,用戶在這些網(wǎng)站上輸入及存儲在云端的私房照片、帳號密碼信息等都被黑客復(fù)制。

[[261320]]

問題來了,SSL安全證書原本是保障數(shù)據(jù)信息的完整性和保密性的,為什么還會有SSL中間人攻擊呢?難道https也無法保證網(wǎng)絡(luò)通信安全?

SSL中間人攻擊的三大場景

其實,SSL是十分安全的,要想攻破沒那么簡單。SSL證書是一種安全協(xié)議,是為網(wǎng)絡(luò)通信提供安全和數(shù)據(jù)的完整性的,它可以驗證參與通訊的一方或雙方使用的證書是不是由權(quán)威可信的數(shù)字證書認(rèn)證機構(gòu)頒發(fā)的,并且能執(zhí)行雙向身份認(rèn)證。

我們所遇到的SSL中間人攻擊方式是通過剝離、偽造SSL安全證書來達(dá)成的。也可以理解為,當(dāng)遇到中間人攻擊的時候,問題并不在SSL協(xié)議和SSL安全證書本身,而是在于證書的驗證環(huán)節(jié)。

不過中間人攻擊還有一個前提條件,就是沒有嚴(yán)格對證書進(jìn)行校檢和認(rèn)證的信任偽造證書。因此,以下是最容易被用戶忽視的驗證環(huán)節(jié):

場景一:網(wǎng)站無任何防護(hù)措施,沒有部署SSL安全證書,處于http的裸奔狀態(tài)。這種場景下,網(wǎng)絡(luò)黑客們可以直接通過網(wǎng)絡(luò)抓包的方式,明文獲取正在傳輸中的數(shù)據(jù)。

場景二:網(wǎng)絡(luò)黑客們通過偽造SSL證書進(jìn)行攻擊,這時企業(yè)安全意識薄弱選擇據(jù)需操作。受到SSL安全證書保護(hù)的網(wǎng)站,瀏覽器會自動檢查SSL證書的狀態(tài),確認(rèn)無誤瀏覽器后才會正常顯示安全鎖標(biāo)志。并且一旦發(fā)現(xiàn)問題,瀏覽器會發(fā)出各種不同的安全警告。

場景三:網(wǎng)絡(luò)黑客偽造SSL證書,網(wǎng)站和APP只做了部分證書校驗,導(dǎo)致假證書渾水摸魚。當(dāng)證書校驗過程中只做了證書域名是不是匹配,或證書是不是過期的驗證,卻不是對整個證書鏈進(jìn)行校驗,那么黑客們即可輕松生成任意域名的偽造證書進(jìn)行中間人攻擊。

怎么預(yù)防SSL中間人攻擊?

首先我們要明白一個事情,真正的https是不存在SSL中間人攻擊的,所以我們首當(dāng)其沖的是要確定網(wǎng)上是否部署了SSL安全證書的保護(hù)。

用戶如何斷定網(wǎng)站是否有SSL證書保護(hù)呢?

1、可使用https:// 正常訪問;

2、瀏覽器左上角有醒目安全鎖標(biāo)識,點擊安全鎖,即可看到網(wǎng)站的真實身份;如果EV型的SSL證書網(wǎng)站,會顯示綠色地址欄;

3、對SSL進(jìn)行完整的證書鏈校檢,正規(guī)的數(shù)字證書頒發(fā)機構(gòu),在檢驗申請者的真實身份后才會給企業(yè)頒發(fā)SSL安全證書,這便意味著保護(hù)用戶信息安全的第一道關(guān)卡。 在數(shù)字證書行業(yè)中,數(shù)安時代GDCA下發(fā)的證書占據(jù)著SSL安全證書市場的一定份額,通過數(shù)安時代GDCA頒發(fā)的證書,在每個瀏覽器中都能識別的到的,用戶可以放心的使用。

一個網(wǎng)站如果具備以上三點特征,說明該網(wǎng)站已經(jīng)受到SSL安全證書的保護(hù),最后要采用權(quán)威CA機構(gòu)頒發(fā)的受信任的SSL證書。

當(dāng)瀏覽器可以識別SSL證書,便檢查此SSL證書中的證書吊銷列表,如果該證書已經(jīng)被證書頒發(fā)機構(gòu)吊銷,會顯示“該組織的證書已被吊銷,安全證書問題會顯示企圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁,不要繼續(xù)瀏覽該網(wǎng)站。”

如果證書已經(jīng)過了有效期,一樣會顯示與被吊銷SSL證書一樣的警告信息。如果證書在有效期內(nèi),還須檢查部署此SSL證書的網(wǎng)站域名是否與證書中的域名一致。

以上都沒有問題的情況下,瀏覽器還會查詢網(wǎng)站是不是已經(jīng)被列入欺詐網(wǎng)站黑名單,有問題的話也會顯示警告信息。

綜合以上所講,當(dāng)企業(yè)可以做到證書的部署和校檢環(huán)節(jié)的完整;個人可以做到認(rèn)證觀察https的標(biāo)識并識別它的真實性和有效性等信息,https基本上是無法被攻擊的,而SSL中間人攻擊就會成為一個偽命題。

 

責(zé)任編輯:武曉燕 來源: 數(shù)據(jù)時代
相關(guān)推薦

2024-05-06 09:35:05

AI網(wǎng)關(guān)開源

2023-06-01 07:50:42

JSDocTypeScriptAPI

2018-11-29 11:08:55

綠色掛鎖httpsSLL

2018-09-20 22:04:01

2022-02-22 08:00:55

混合辦公網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)攻擊

2022-08-18 17:44:25

HTTPS協(xié)議漏洞

2024-10-14 08:39:25

2015-10-19 11:06:37

2023-04-07 15:30:24

操作系統(tǒng)ChatGPT

2016-11-09 06:50:43

SDN

2010-07-15 16:21:22

編程語言

2015-10-23 10:53:54

OpenStackNFV網(wǎng)絡(luò)功能虛擬化

2018-01-15 08:38:41

備份服務(wù)器企業(yè)

2015-06-19 06:41:45

生命科學(xué)云計算集群計算

2015-03-18 15:37:19

社交APP場景

2024-02-19 00:12:00

模型數(shù)據(jù)

2017-08-17 17:00:59

Androidroot手機

2024-11-26 20:27:51

2020-02-20 17:26:21

遠(yuǎn)程辦公

2016-01-28 10:04:09

Jenkins運維持續(xù)交付
點贊
收藏

51CTO技術(shù)棧公眾號