用了HTTPS，沒想到還是被監(jiān)控了！

大家好，我是軒轅。

上周，微信里有個小伙伴兒給我發(fā)來了消息：

隨后，我讓他截了一個完整的圖，我一瞅，是HTTPS啊!沒用HTTP!再一瞅，是www.baidu.com啊，不是什么山寨網(wǎng)站!

我瞬間明白了些什么，讓他點擊了一下瀏覽器地址欄中那個表示安全的小鎖標志，查看了一下網(wǎng)站使用的HTTPS證書。

果然不出我之所料，證書不是官方的，官方的證書長這樣：

而那個假的證書是他們公司簽發(fā)的，看來，他們公司開始對HTTPS流量做解析了，這家伙瞬間瑟瑟發(fā)抖···

今天就來跟大家聊一下：HTTPS真的安全嗎?

現(xiàn)如今大家每天上網(wǎng)基本上看到的都是使用了HTTPS的網(wǎng)站，有時候特意想找一個HTTP的網(wǎng)站來讓新同學(xué)練習(xí)抓包分析都不好找。

但在幾年前，差不多我剛剛開始畢業(yè)工作(2014年)的時候，情況卻不是這樣的，網(wǎng)絡(luò)上還有大量使用HTTP的網(wǎng)站。

大家知道，HTTP是超文本傳輸協(xié)議，數(shù)據(jù)內(nèi)容在網(wǎng)絡(luò)中都是明文傳輸?shù)模浅２话踩?。同在一個宿舍里的同學(xué)，隨便搞一個中間人劫持就能監(jiān)聽到你瀏覽了什么視頻學(xué)習(xí)網(wǎng)站。

不僅如此，上網(wǎng)鏈路中包括寢室路由器在內(nèi)的各級網(wǎng)絡(luò)設(shè)備都可以探知你的數(shù)據(jù)，甚至給你插入小廣告(其實這種現(xiàn)象現(xiàn)在依然存在，尤其是很多醫(yī)院、學(xué)校的網(wǎng)站，還是很多都是用HTTP，特別容易粘上小廣告)，一不小心就跳到了廣告頁面，真是防不勝防。

不久，網(wǎng)站HTTPS化的浪潮很快打來，通過加密這一最簡單直接的辦法，將瀏覽器上網(wǎng)過程中傳輸?shù)臄?shù)據(jù)進行加密保護，上網(wǎng)內(nèi)容的安全性得到了極大的提升。

我之前寫過一篇故事深入淺出的描述了HTTPS的工作原理，還不懂的小伙伴兒可以學(xué)習(xí)一下，我經(jīng)常也會在面試中考察候選人這個問題，這可以迅速幫助我知道對方對HTTPS的了解程度。

為了一個HTTPS，瀏覽器操碎了心···

咱們通過下面的快問快答環(huán)節(jié)來簡單總結(jié)一下。

看到了吧，HTTPS能夠安全的基石是非對稱加密，非對稱加密建立的前提是對方真的是對方，如果這一個前提不成立，后面的一切都是假的!

網(wǎng)站服務(wù)器使用HTTPS進行通信時，會提供一個用于證明身份的證書，這個證書，將會由某個受信任的機構(gòu)簽發(fā)。

瀏覽器拿到這個證書后，會校驗證書的合法性，去檢查證書的簽發(fā)機構(gòu)是不是受信任的。

那如何去檢查簽發(fā)機構(gòu)是不是受信任的呢?

答案是繼續(xù)檢查簽發(fā)機構(gòu)的證書，看看是誰給他簽發(fā)的，一直這樣追溯，直到找到最終的簽發(fā)者，看看最終的簽發(fā)者的證書是不是安裝在操作系統(tǒng)的受信任的根證書列表中。

是不是已經(jīng)暈了?沒關(guān)系，我們來用百度的那個證書為例，看一下這個過程，你就知道什么意思了。

你可以通過點擊證書路徑tab頁面查看證書的簽發(fā)鏈條：

通過這個樹形結(jié)構(gòu)圖，可以清晰地看到：

baidu.com這個域名使用的證書，是由名為GlobalSign Organization Validation CA - SHA256 - G2的頒發(fā)者簽發(fā)的。

而這個頒發(fā)者的證書，又是由GlobalSign Root CA - R1簽發(fā)的。

瀏覽器拿到這個最頂層的簽發(fā)證書后，去操作系統(tǒng)安裝的受信任的根證書列表中一找，嘿，還真讓它找著了!

圖片

于是，瀏覽器信任了這個證書，繼續(xù)接下來的通信過程。

如果找不到，瀏覽器就會彈出不受信任的消息，提醒用戶要當心了!

而如果，有人在你的電腦中安裝了一個自己的根證書進去，騙過瀏覽器，這一切安全的根基也就傾覆了。

而文章開頭那個小伙伴兒之所以彈出了那個窗口，多半是根證書還沒安裝進去，就開始了HTTPS劫持。因為重啟之后，便再也沒有這些提示信息，一切如往常一樣風平浪靜，只不過上網(wǎng)的流量已經(jīng)被公司悉數(shù)掌握。

看到這里，還不趕緊點開瀏覽器地址欄的那把鎖，看看證書的簽發(fā)機構(gòu)是不是你們公司?

如果是，那恭喜你了~

最后，給大家留一個思考題：微信會受到這種HTTPS劫持的影響嗎? 歡迎在評論區(qū)發(fā)表你的看法!

本文名稱：用了HTTPS，沒想到還是被監(jiān)控了！
當前路徑：http://bm7419.com/news/204170.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、網(wǎng)站營銷、企業(yè)網(wǎng)站制作、電子商務(wù)、關(guān)鍵詞優(yōu)化、動態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)