什么是SSL劫持
SSL劫持也就是SSL证书欺骗攻击,攻击者为了获得HTTPS传输的明文数据,需要先将自己接入到浏览器与目标网站之间(中间人),在传输数据的过程中,替换目标网站发给浏览器的证书,之后解密传输中的数据
过去曾发生过发生过并被大众知晓的SSL劫持有:Comodo CA被黑客入侵用于伪造SSL证书、DigiNotar CA被黑客入侵用于伪造SSL证书、法国政府伪造CA证书用于劫持Gmail等。
所以很多人为了安全起见,将CA机构颁发的SSL证书标记为不信任,但由此带来了一些问题,比如某网站使用了用户标记了不信任CA机构颁发的SSL证书,那么就会导致无法连接,访问不了。
鉴于存在着这些问题,那么就需要有相对应的解决方法。这里介绍一个用于预防SSL劫持的开源工具:scphcp,使用中不存在删除证书的各种问题,也不存在担心中级CA机构的问题。
scphcp是为了防止证书颁发机构出现问题(比如被黑客入侵、或者迫于某种压力颁发了假证书)的代理工具,只要将浏览器的代理设置为scphcp提供的代理,即可防止SSL劫持。由于scphcp是代理服务器,所以可以跨浏览器使用,不像浏览器插件那样只能在固定的某个浏览器中使用。
scphcp 依赖于python,安装python后根据项目主页中的问于答进行操作即可使用。此项目刚开发完成,使用中或许会存在一些问题,如发现问题则欢迎在项目中提Issue,开发者将会尽快进行修复。
scphcp只能防止SSL劫持,并不能防止HTTP劫持,比如《电信级的RSA加密后的密码的破解方法》中使用的HTTP劫持无法预防。所以访问重要的网站时需要确保使用的是HTTPS进行访问。
目前使用此工具需要一定的电脑知识,需要安装python并设置环境变量并编辑配置文件。
结论:SSL劫持是影响网络安全的重要因素之一,浏览器会正确显示不安全的内容。但不明真相的用户很有可能被引诱点击进入不安全的网页,对此数安时代(GDCA)提醒广大用户日常也需要预防SSL劫持:
使用正确的HTTPS确保安全连接;确保网络环境是安全的,再登录网上银行类型的站点;保护自己的内部机器。
本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!