信息來(lái)源：企業(yè)網(wǎng)

當(dāng)我們?cè)诳Х瑞^連上WiFi打開網(wǎng)頁(yè)和郵箱時(shí)，殊不知有人正在監(jiān)視著我們的各種網(wǎng)絡(luò)活動(dòng)。在打開賬戶網(wǎng)頁(yè)的一瞬間，也許黑客就已經(jīng)盜取了我們的銀行憑證、家庭住址、電子郵件和聯(lián)系人信息，而這一切我們卻毫不知情。這是一種網(wǎng)絡(luò)上常見的“中間人攻擊”(Man-in-the-Middle Attack, MITM)，通過(guò)攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進(jìn)行數(shù)據(jù)篡改和嗅探。

2014年10月，國(guó)內(nèi)曾出現(xiàn)過(guò)非常嚴(yán)重的中間人攻擊事件，微軟、蘋果iCloud、雅虎等知名企業(yè)都遭受了大面積SSL中間人攻擊，其中國(guó)地區(qū)大部分用戶隱私暴露無(wú)遺，用戶在這些網(wǎng)站上輸入及存儲(chǔ)在云端的私房照片、帳號(hào)密碼等都能夠被黑客復(fù)制。

很多不知情的用戶可能會(huì)問，SSL不就是為了保障HTTP的保密性和完整性，提供端到端安全服務(wù)的嗎?為什么還會(huì)發(fā)生SSL中間人攻擊，難道HTTPS都不能保證網(wǎng)絡(luò)通信安全?

SSL中間人攻擊的三大場(chǎng)景

事實(shí)上，SSL被設(shè)計(jì)得十分安全，想要攻破并不容易。SSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，它可以驗(yàn)證參與通訊的一方或雙方使用的證書是否由權(quán)威受信任的數(shù)字證書認(rèn)證機(jī)構(gòu)頒發(fā)，并且能執(zhí)行雙向身份認(rèn)證。

而我們現(xiàn)在常見的SSL中間人攻擊方式都是通過(guò)偽造、剝離SSL證書來(lái)實(shí)現(xiàn)的。換句話說(shuō)，一旦發(fā)生SSL中間人攻擊事件，問題并不出在SSL協(xié)議或者SSL證書本身，而是出在SSL證書的驗(yàn)證環(huán)節(jié)。中間人攻擊的前提條件是，沒有嚴(yán)格對(duì)證書進(jìn)行校驗(yàn)，或者人為的信任偽造證書，因此以下場(chǎng)景正是最容易被用戶忽視的證書驗(yàn)證環(huán)節(jié)：

場(chǎng)景一：網(wǎng)站沒有使用SSL證書，網(wǎng)站處于HTTP明文傳輸?shù)摹奥惚肌睜顟B(tài)。這種情況黑客可直接通過(guò)網(wǎng)絡(luò)抓包的方式，明文獲取傳輸數(shù)據(jù)。

場(chǎng)景二：黑客通過(guò)偽造SSL證書的方式進(jìn)行攻擊，用戶安全意識(shí)不強(qiáng)選擇繼續(xù)操作。

受SSL證書保護(hù)的網(wǎng)站，瀏覽器會(huì)自動(dòng)查驗(yàn)SSL證書狀態(tài)，確認(rèn)無(wú)誤瀏覽器才會(huì)正常顯示安全鎖標(biāo)志。而一旦發(fā)現(xiàn)問題，瀏覽器會(huì)報(bào)各種不同的安全警告。

例如，SSL證書不是由瀏覽器中受信任的根證書頒發(fā)機(jī)構(gòu)頒發(fā)的，或者此證書已被吊銷，此證書網(wǎng)站的域名與根證書中的域名不一致，瀏覽器都會(huì)顯示安全警告，建議用戶關(guān)閉此網(wǎng)頁(yè)，不要繼續(xù)瀏覽該網(wǎng)站。

場(chǎng)景三：黑客偽造SSL證書，網(wǎng)站/APP只做了部分證書校驗(yàn)，導(dǎo)致假證書蒙混過(guò)關(guān)。

例如，在證書校驗(yàn)過(guò)程中只做了證書域名是否匹配，或者證書是否過(guò)期的驗(yàn)證，而不是對(duì)整個(gè)證書鏈進(jìn)行校驗(yàn)，那么黑客就可以輕松生成任意域名的偽造證書進(jìn)行中間人攻擊。

如何防御SSL中間人攻擊?

首先，真正的HTTPS是不存在SSL中間人攻擊的，因此首當(dāng)其沖的是要確定網(wǎng)站有SSL證書的保護(hù)。

那么用戶如何判斷網(wǎng)站有沒有SSL證書保護(hù)呢?

1、可使用https:// 正常訪問。

2、瀏覽器顯示醒目安全鎖，點(diǎn)擊安全鎖，可查看網(wǎng)站真實(shí)身份。

3、使用了EV SSL證書的網(wǎng)站，顯示綠色地址欄。

如果用戶訪問的網(wǎng)站呈現(xiàn)以上特征，說(shuō)明該網(wǎng)站已受SSL證書保護(hù)。

其次，采用權(quán)威CA機(jī)構(gòu)頒發(fā)的受信任的SSL證書。

數(shù)字證書頒發(fā)機(jī)構(gòu)CA是可信任的第三方，在驗(yàn)證申請(qǐng)者的真實(shí)身份后才會(huì)頒發(fā)SSL證書，可以說(shuō)是保護(hù)用戶信息安全的第一道關(guān)口。在國(guó)內(nèi)認(rèn)證行業(yè)中，以天威誠(chéng)信(iTrusChina)為代表的CA認(rèn)證機(jī)構(gòu)，占據(jù)著SSL證書市場(chǎng)的份額。由天威誠(chéng)信頒發(fā)的數(shù)字證書，瀏覽器都能夠正常識(shí)別，用戶可以放心使用。

最后，對(duì)SSL證書進(jìn)行完整的證書鏈校驗(yàn)。

如果是瀏覽器能識(shí)別的SSL證書，則需要檢查此SSL證書中的證書吊銷列表，如果此證書已經(jīng)被證書頒發(fā)機(jī)構(gòu)吊銷，則會(huì)顯示警告信息：“此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站?！?

如果證書已經(jīng)過(guò)了有效期，一樣會(huì)顯示警告信息：“此網(wǎng)站出具的安全證書已過(guò)期或還未生效。安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站?！?

如果證書在有效期內(nèi)，還須檢查部署此SSL證書的網(wǎng)站域名是否與證書中的域名一致。

如果以上都沒有問題，瀏覽器還會(huì)查詢此網(wǎng)站是否已經(jīng)被列入欺詐網(wǎng)站黑名單，如果有問題也會(huì)顯示警告信息。

總而言之，企業(yè)能夠做到證書部署和校驗(yàn)環(huán)節(jié)完整，個(gè)人用戶能夠認(rèn)真觀察HTTPS安全標(biāo)識(shí)，識(shí)別證書真實(shí)性、有效期等信息，HTTPS幾乎是無(wú)法攻破的，所謂的SSL中間人攻擊就是一個(gè)偽命題。

在網(wǎng)絡(luò)安全事件頻發(fā)的時(shí)代，部署HTTPS已是大勢(shì)所趨，它用復(fù)雜的傳輸方式降低網(wǎng)站被攻擊劫持的風(fēng)險(xiǎn)。當(dāng)然，實(shí)現(xiàn)全網(wǎng)HTTPS不是一件立竿見影的事情，而是需要參與互聯(lián)網(wǎng)的每一家企業(yè)都承擔(dān)起網(wǎng)絡(luò)安全的責(zé)任，我們每一個(gè)個(gè)體都增強(qiáng)保護(hù)自我隱私的意識(shí)，從而共同締造一個(gè)安全的網(wǎng)絡(luò)空間。