HTTPS如何助力预防网站流量劫持?
2023-05-25
你是否遇到过这样的情况,有时正在浏览网页突然出现一个弹窗,手动关闭窗口时,跳转到了另一个不知名的网站。这很可能是碰上流量劫持了。如何预防网站流量劫持?
一、流量劫持分类
1.域名劫持:表现为在用户正常联网状态下,目标域名会被恶意地解析到其他IP地址上,造成用户无法正常使用服务。
网页技术在近些年里有了很大的发展,但其底层协议始终没有太大的改进——HTTP,一种使用了20多年古老协议。在HTTP里,一切都是明文传输的,流量在途中可随心所欲的被控制。
在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,不登录也会被劫持,操控起你的账号了。
三、HTTPS如何助力预防流量劫持
由于HTTPS足够安全,且无法伪造,因此一般劫持者不会选择运营商下手。
1.DNS劫持
实际上HTTPS并不能预防DNS劫持,但是由于用户访问页面会空白或者显示网页HTTPS不正常,此时会找运营商投诉,因此一般运营商对DNS劫持比较慎重,HTTPS反而是安全的。
2.HTTP劫持
事实上,劫持者一般会直接放行HTTPS流量,劫持HTTPS网页并不能让用户端显示正常的网页内容。
3.预置证书
像一些公司,网吧会强制预置根证书,配合网关达到HTTPS劫持的目的。(此方式只能通过解析CAA记录解决劫持,但网页显示空白)。
不同于简单的HTTP代理,HTTPS服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户会选择关闭页面,所以网站SSL证书需要选择权威CA机构颁发。
这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构。在中国还要附加一项,就是要拿到工信部许可的CA牌照,这样的CA机构,才有权利签发各类数字证书。
当前,HTTPS依然是非常有效的流量劫持防范措施之一,无论是网络服务提供商还是广大网民,为保障自己的帐户安全和个人权益,都要形成使用HTTPS访问网站的习惯和意识,重要的网站更要及时部署权威机构颁发的SSL证书,才能确保网站关键数据的安全和完整。
一、流量劫持分类
1.域名劫持:表现为在用户正常联网状态下,目标域名会被恶意地解析到其他IP地址上,造成用户无法正常使用服务。
2.数据劫持:指强行插入弹窗或嵌入式广告等其他内容,干扰用户的正常使用。
网页技术在近些年里有了很大的发展,但其底层协议始终没有太大的改进——HTTP,一种使用了20多年古老协议。在HTTP里,一切都是明文传输的,流量在途中可随心所欲的被控制。
在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,不登录也会被劫持,操控起你的账号了。
三、HTTPS如何助力预防流量劫持
由于HTTPS足够安全,且无法伪造,因此一般劫持者不会选择运营商下手。
1.DNS劫持
实际上HTTPS并不能预防DNS劫持,但是由于用户访问页面会空白或者显示网页HTTPS不正常,此时会找运营商投诉,因此一般运营商对DNS劫持比较慎重,HTTPS反而是安全的。
2.HTTP劫持
事实上,劫持者一般会直接放行HTTPS流量,劫持HTTPS网页并不能让用户端显示正常的网页内容。
3.预置证书
像一些公司,网吧会强制预置根证书,配合网关达到HTTPS劫持的目的。(此方式只能通过解析CAA记录解决劫持,但网页显示空白)。
不同于简单的HTTP代理,HTTPS服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户会选择关闭页面,所以网站SSL证书需要选择权威CA机构颁发。
这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构。在中国还要附加一项,就是要拿到工信部许可的CA牌照,这样的CA机构,才有权利签发各类数字证书。
当前,HTTPS依然是非常有效的流量劫持防范措施之一,无论是网络服务提供商还是广大网民,为保障自己的帐户安全和个人权益,都要形成使用HTTPS访问网站的习惯和意识,重要的网站更要及时部署权威机构颁发的SSL证书,才能确保网站关键数据的安全和完整。