現(xiàn)今社會早已步入了互聯(lián)網(wǎng)+時代，以個人信息/隱私為中心，這個時代為每個參與信息交互的個體編織了一張大網(wǎng)，網(wǎng)絡(luò)上的每個節(jié)點構(gòu)成了我們的生活。當(dāng)打開銀行網(wǎng)頁的瞬間，你的銀行憑證、E-mall、家庭住址、聯(lián)系人信息都已在黑客的股掌之中，而我們還后知后覺。其實，這就是傳說的“中間人攻擊”，通過攔截通信數(shù)據(jù)，進(jìn)行數(shù)據(jù)篡改和嗅探。

14年10月，微軟、蘋果iCloud、雅虎等遭到大面積的SSL中間人攻擊，是國際上非常嚴(yán)重的中間人攻擊事件。我們國內(nèi)的大部分用戶的隱私也一覽無遺，用戶在這些網(wǎng)站上輸入及存儲在云端的私房照片、帳號密碼信息等都被黑客復(fù)制。

[[261320]]

問題來了，SSL安全證書原本是保障數(shù)據(jù)信息的完整性和保密性的，為什么還會有SSL中間人攻擊呢？難道https也無法保證網(wǎng)絡(luò)通信安全？

SSL中間人攻擊的三大場景

其實，SSL是十分安全的，要想攻破沒那么簡單。SSL證書是一種安全協(xié)議，是為網(wǎng)絡(luò)通信提供安全和數(shù)據(jù)的完整性的，它可以驗證參與通訊的一方或雙方使用的證書是不是由權(quán)威可信的數(shù)字證書認(rèn)證機構(gòu)頒發(fā)的，并且能執(zhí)行雙向身份認(rèn)證。

我們所遇到的SSL中間人攻擊方式是通過剝離、偽造SSL安全證書來達(dá)成的。也可以理解為，當(dāng)遇到中間人攻擊的時候，問題并不在SSL協(xié)議和SSL安全證書本身，而是在于證書的驗證環(huán)節(jié)。

不過中間人攻擊還有一個前提條件，就是沒有嚴(yán)格對證書進(jìn)行校檢和認(rèn)證的信任偽造證書。因此，以下是最容易被用戶忽視的驗證環(huán)節(jié)：

場景一：網(wǎng)站無任何防護(hù)措施，沒有部署SSL安全證書，處于http的裸奔狀態(tài)。這種場景下，網(wǎng)絡(luò)黑客們可以直接通過網(wǎng)絡(luò)抓包的方式，明文獲取正在傳輸中的數(shù)據(jù)。

場景二：網(wǎng)絡(luò)黑客們通過偽造SSL證書進(jìn)行攻擊，這時企業(yè)安全意識薄弱選擇據(jù)需操作。受到SSL安全證書保護(hù)的網(wǎng)站，瀏覽器會自動檢查SSL證書的狀態(tài)，確認(rèn)無誤瀏覽器后才會正常顯示安全鎖標(biāo)志。并且一旦發(fā)現(xiàn)問題，瀏覽器會發(fā)出各種不同的安全警告。

場景三：網(wǎng)絡(luò)黑客偽造SSL證書，網(wǎng)站和APP只做了部分證書校驗，導(dǎo)致假證書渾水摸魚。當(dāng)證書校驗過程中只做了證書域名是不是匹配，或證書是不是過期的驗證，卻不是對整個證書鏈進(jìn)行校驗，那么黑客們即可輕松生成任意域名的偽造證書進(jìn)行中間人攻擊。

怎么預(yù)防SSL中間人攻擊？

首先我們要明白一個事情，真正的https是不存在SSL中間人攻擊的，所以我們首當(dāng)其沖的是要確定網(wǎng)上是否部署了SSL安全證書的保護(hù)。

用戶如何斷定網(wǎng)站是否有SSL證書保護(hù)呢？

1、可使用https:// 正常訪問；

2、瀏覽器左上角有醒目安全鎖標(biāo)識，點擊安全鎖，即可看到網(wǎng)站的真實身份；如果EV型的SSL證書網(wǎng)站，會顯示綠色地址欄；

3、對SSL進(jìn)行完整的證書鏈校檢，正規(guī)的數(shù)字證書頒發(fā)機構(gòu)，在檢驗申請者的真實身份后才會給企業(yè)頒發(fā)SSL安全證書，這便意味著保護(hù)用戶信息安全的第一道關(guān)卡。 在數(shù)字證書行業(yè)中，數(shù)安時代GDCA下發(fā)的證書占據(jù)著SSL安全證書市場的一定份額，通過數(shù)安時代GDCA頒發(fā)的證書，在每個瀏覽器中都能識別的到的，用戶可以放心的使用。

一個網(wǎng)站如果具備以上三點特征，說明該網(wǎng)站已經(jīng)受到SSL安全證書的保護(hù)，最后要采用權(quán)威CA機構(gòu)頒發(fā)的受信任的SSL證書。

當(dāng)瀏覽器可以識別SSL證書，便檢查此SSL證書中的證書吊銷列表，如果該證書已經(jīng)被證書頒發(fā)機構(gòu)吊銷，會顯示“該組織的證書已被吊銷，安全證書問題會顯示企圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁，不要繼續(xù)瀏覽該網(wǎng)站。”

如果證書已經(jīng)過了有效期，一樣會顯示與被吊銷SSL證書一樣的警告信息。如果證書在有效期內(nèi)，還須檢查部署此SSL證書的網(wǎng)站域名是否與證書中的域名一致。

以上都沒有問題的情況下，瀏覽器還會查詢網(wǎng)站是不是已經(jīng)被列入欺詐網(wǎng)站黑名單，有問題的話也會顯示警告信息。

綜合以上所講，當(dāng)企業(yè)可以做到證書的部署和校檢環(huán)節(jié)的完整；個人可以做到認(rèn)證觀察https的標(biāo)識并識別它的真實性和有效性等信息，https基本上是無法被攻擊的，而SSL中間人攻擊就會成為一個偽命題。