http,一个使用了 20 多年的老协议。如今,网页技术有了长足的进步和发展,http 也开始逐渐被 https 取代,在 http 中,很容易受到网络攻击,是流量劫持,对广大网民造成了严重的损失。把 http 换成 https 会安全吗?还会不会发生流量劫持的情况?
https 能否避免流量劫持?
可以!但是,必须使用可信SSL证书。
与简单的 http 代理不同的是,https 服务需要由可信的CA颁发的SSL证书才能生效。自签式证书浏览器不认可,并且会给出严重的警告提示。而且遇到“这个网站的安全证书有问题”的警告,大多数用户都不明白是什么情况,就点了继续,结果导致伪证书被允许黑客入侵,https 流量因此被劫持。
假如重要帐号的网站遇到这种情况,无论如何都不要点击继续操作,否则门钥匙可能会落入黑客手中。
在这里,可信CA机构是指已经通过 WebTrust 国外认证,根证书由微软预置,并被微软等各种操作系统、主流移动设备和浏览器信任的CA机构;在中国,还有一个附加条件,即取得工信部颁发的CA许可证;这样的CA机构,才有权发放各种数字证书。
自我签署的证书是指不受信任的任意机构或个人,自己随意签发的证书,很容易被黑客伪造替换。
全站 https 的重要性。
种情况:从 http 页面跳转到 https 页面。
实际上,在PC端上网的人很少直接访问https网站。比如支付宝网站,大部分都是从跳转过来,而仍然使用不安全的 http 协议。假如把 XSS 注入网的页面,屏蔽跳转到 https的页面访问,用 http 替代,那么用户也就永远不会进入安站。
虽然地址栏上没有 https 的字眼,但是域名看起来也是对的,大多数用户会认为不算钓鱼网站,因此也就忽略了。所以,只要进入页面不安全,后面的页面就不会安全了。
第二种:http 页面重定向到 https 页面。
有些用户通过输网址访问,然后在输入 www.alipaly.com 后点击回车进入。但是,浏览器并不知道这是一个 https 站点,因此使用默认的 http 进行访问。但事实上,支付宝的 http 版本也确实存在,它的功能是重定向到自己的 https 站点。拦截流量的中间商一旦发现有重定向到 https 站点,就会拦住重定向的命令,自己去获取重定向后的站点内容,然后再返回给用户。这样,用户总是通过 http 站点进行访问,自然就可以无限制的劫持。
因此,给网站安装SSL证书,实现网站的 https 加密势在必行!登陆环度SSL证书网 https://www.sslzhengshu.com/ 可申请SSL证书!
