现今社会早已步入了互联网+时代,以个人信息/隐私为中心,这个时代为每个参与信息交互的个体编织了一张大网,网络上的每个节点构成了我们的生活。当打开银行网页的瞬间,你的银行凭证、E-mall、家庭住址、联系人信息都已在黑客的股掌之中,而我们还后知后觉。其实,这就是传说的“中间人攻击”,通过拦截通信数据,进行数据篡改和嗅探。
14年10月,微软、苹果iCloud、雅虎等遭到大面积的SSL中间人攻击,是国际上非常严重的中间人攻击事件。我们国内的大部分用户的隐私也一览无遗,用户在这些网站上输入及存储在云端的私房照片、帐号密码信息等都被黑客复制。
问题来了,SSL安全证书原本是保障数据信息的完整性和保密性的,为什么还会有SSL中间人攻击呢?难道https也无法保证网络通信安全?
SSL中间人攻击的三大场景
其实,SSL是十分安全的,要想攻破没那么简单。SSL证书是一种安全协议,是为网络通信提供安全和数据的完整性的,它可以验证参与通讯的一方或双方使用的证书是不是由权威可信的数字证书认证机构颁发的,并且能执行双向身份认证。
我们所遇到的SSL中间人攻击方式是通过剥离、伪造SSL安全证书来达成的。也可以理解为,当遇到中间人攻击的时候,问题并不在SSL协议和SSL安全证书本身,而是在于证书的验证环节。
不过中间人攻击还有一个前提条件,就是没有严格对证书进行校检和认证的信任伪造证书。因此,以下是最容易被用户忽视的验证环节:
场景一:网站无任何防护措施,没有部署SSL安全证书,处于http的裸奔状态。这种场景下,网络黑客们可以直接通过网络抓包的方式,明文获取正在传输中的数据。
场景二:网络黑客们通过伪造SSL证书进行攻击,这时企业安全意识薄弱选择据需操作。受到SSL安全证书保护的网站,浏览器会自动检查SSL证书的状态,确认无误浏览器后才会正常显示安全锁标志。并且一旦发现问题,浏览器会发出各种不同的安全警告。
场景三:网络黑客伪造SSL证书,网站和APP只做了部分证书校验,导致假证书浑水摸鱼。当证书校验过程中只做了证书域名是不是匹配,或证书是不是过期的验证,却不是对整个证书链进行校验,那么黑客们即可轻松生成任意域名的伪造证书进行中间人攻击。
怎么预防SSL中间人攻击?
首先我们要明白一个事情,真正的https是不存在SSL中间人攻击的,所以我们首当其冲的是要确定网上是否部署了SSL安全证书的保护。
用户如何断定网站是否有SSL证书保护呢?
1、可使用https:// 正常访问;
2、浏览器左上角有醒目安全锁标识,点击安全锁,即可看到网站的真实身份;如果EV型的SSL证书网站,会显示绿色地址栏;
3、对SSL进行完整的证书链校检,正规的数字证书颁发机构,在检验申请者的真实身份后才会给企业颁发SSL安全证书,这便意味着保护用户信息安全的第一道关卡。 在数字证书行业中,数安时代GDCA下发的证书占据着SSL安全证书市场的一定份额,通过数安时代GDCA颁发的证书,在每个浏览器中都能识别的到的,用户可以放心的使用。
一个网站如果具备以上三点特征,说明该网站已经受到SSL安全证书的保护,最后要采用权威CA机构颁发的受信任的SSL证书。
当浏览器可以识别SSL证书,便检查此SSL证书中的证书吊销列表,如果该证书已经被证书颁发机构吊销,会显示“该组织的证书已被吊销,安全证书问题会显示企图欺骗您或截获您向服务器发送的数据。建议关闭此网页,不要继续浏览该网站。”
如果证书已经过了有效期,一样会显示与被吊销SSL证书一样的警告信息。如果证书在有效期内,还须检查部署此SSL证书的网站域名是否与证书中的域名一致。
以上都没有问题的情况下,浏览器还会查询网站是不是已经被列入欺诈网站黑名单,有问题的话也会显示警告信息。
综合以上所讲,当企业可以做到证书的部署和校检环节的完整;个人可以做到认证观察https的标识并识别它的真实性和有效性等信息,https基本上是无法被攻击的,而SSL中间人攻击就会成为一个伪命题。