关于防止SSL劫持的解决方案

什么是SSL劫持

SSL劫持也就是SSL证书欺骗攻击，攻击者为了获得HTTPS传输的明文数据，需要先将自己接入到浏览器与目标网站之间（中间人），在传输数据的过程中，替换目标网站发给浏览器的证书，之后解密传输中的数据

过去曾发生过发生过并被大众知晓的SSL劫持有：Comodo CA被黑客入侵用于伪造SSL证书、DigiNotar CA被黑客入侵用于伪造SSL证书、法国政府伪造CA证书用于劫持Gmail等。

所以很多人为了安全起见，将CA机构颁发的SSL证书标记为不信任，但由此带来了一些问题，比如某网站使用了用户标记了不信任CA机构颁发的SSL证书，那么就会导致无法连接，访问不了。

鉴于存在着这些问题，那么就需要有相对应的解决方法。这里介绍一个用于预防SSL劫持的开源工具：scphcp，使用中不存在删除证书的各种问题，也不存在担心中级CA机构的问题。

scphcp是为了防止证书颁发机构出现问题（比如被黑客入侵、或者迫于某种压力颁发了假证书）的代理工具，只要将浏览器的代理设置为scphcp提供的代理，即可防止SSL劫持。由于scphcp是代理服务器，所以可以跨浏览器使用，不像浏览器插件那样只能在固定的某个浏览器中使用。

scphcp 依赖于python，安装python后根据项目主页中的问于答进行操作即可使用。此项目刚开发完成，使用中或许会存在一些问题，如发现问题则欢迎在项目中提Issue，开发者将会尽快进行修复。

scphcp只能防止SSL劫持，并不能防止HTTP劫持，比如《电信级的RSA加密后的密码的破解方法》中使用的HTTP劫持无法预防。所以访问重要的网站时需要确保使用的是HTTPS进行访问。

目前使用此工具需要一定的电脑知识，需要安装python并设置环境变量并编辑配置文件。

结论：SSL劫持是影响网络安全的重要因素之一，浏览器会正确显示不安全的内容。但不明真相的用户很有可能被引诱点击进入不安全的网页，对此数安时代（GDCA）提醒广大用户日常也需要预防SSL劫持：

使用正确的HTTPS确保安全连接；确保网络环境是安全的，再登录网上银行类型的站点；保护自己的内部机器。