大家好, 我是周杰伦.
上周, 微信里有个小伙伴儿给我发来了张图:
我一瞅, 是 HTTPS 啊! 没用 HTTP! 再一瞅, 是 www.baidu.com 啊, 不是什么山寨网站!
我瞬间明白了些什么, 让他点击了一下浏览器地址栏中那个表示安全的小锁标志, 查看了一下网站使用的 HTTPS 证书.
果然不出我之所料, 证书不是官方的, 官方的证书长这样:
而那个假的证书是他们公司签发的, 看来, 他们公司开始对 HTTPS 流量做解析了, 这家伙瞬间瑟瑟发抖...
今天就来跟大家聊一下: HTTPS 真的安全吗?
现如今大家每天上网基本上看到的都是使用了 HTTPS 的网站, 有时候特意想找一个 HTTP 的网站来让新同学练习抓包分析都不好找.
但在几年前, 差不多我刚刚开始毕业工作 (2014 年) 的时候, 情况却不是这样的, 网络上还有大量使用 HTTP 的网站.
大家知道, HTTP 是超文本传输协议, 数据内容在网络中都是明文传输的, 非常不安全. 同在一个宿舍里的同学, 随便搞一个中间人劫持就能监听到你浏览了什么视频学习网站.
不仅如此, 上网链路中包括寝室路由器在内的各级网络设备都可以探知你的数据, 甚至给你插入小广告(其实这种现象现在依然存在, 尤其是很多医院, 学校的网站, 还是很多都是用 HTTP, 特别容易粘上小广告), 一不小心就跳到了广告页面, 真是防不胜防.
不久, 网站 HTTPS 化的浪潮很快打来, 通过加密这一最简单直接的办法, 将浏览器上网过程中传输的数据进行加密保护, 上网内容的安全性得到了极大的提升.
我之前写过一篇故事深入浅出的描述了 HTTPS 的工作原理, 还不懂的小伙伴儿可以学习一下, 我经常也会在面试中考察候选人这个问题, 这可以迅速帮助我知道对方对 HTTPS 的了解程度.
咱们通过下面的快问快答环节来简单总结一下.
看到了吧, HTTPS 能够安全的基石是非对称加密, 非对称加密建立的前提是对方真的是对方, 如果这一个前提不成立, 后面的一切都是假的!
网站服务器使用 HTTPS 进行通信时, 会提供一个用于证明身份的证书, 这个证书, 将会由某个受信任的机构签发.
浏览器拿到这个证书后, 会校验证书的合法性, 去检查证书的签发机构是不是受信任的.
那如何去检查签发机构是不是受信任的呢?
答案是继续检查签发机构的证书, 看看是谁给他签发的, 一直这样追溯, 直到找到最终的签发者, 看看最终的签发者的证书是不是安装在操作系统的受信任的根证书列表中.
是不是已经晕了? 没关系, 我们来用百度的那个证书为例, 看一下这个过程, 你就知道什么意思了.
你可以通过点击证书路径 tab 页面查看证书的签发链条:
通过这个树形结构图, 可以清晰地看到:
baidu.com 这个域名使用的证书, 是由名为 GlobalSign Organization Validation CA - SHA256 - G2 的颁发者签发的.
而这个颁发者的证书, 又是由 GlobalSign Root CA - R1 签发的.
浏览器拿到这个最顶层的签发证书后, 去操作系统安装的受信任的根证书列表中一找, 嘿, 还真让它找着了!
于是, 浏览器信任了这个证书, 继续接下来的通信过程.
如果找不到, 浏览器就会弹出不受信任的消息, 提醒用户要当心了!
![在这里插入图片描述](https://img-blog.csdnimg.cn/1...
process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBARHhBeEZ4QQ==,size_20,color_FFFFFF,t_70,g_se,x_16)
而如果, 有人在你的电脑中安装了一个自己的根证书进去, 骗过浏览器, 这一切安全的根基也就倾覆了.
而文章开头那个小伙伴儿之所以弹出了那个窗口, 多半是根证书还没安装进去, 就开始了 HTTPS 劫持. 因为重启之后, 便再也没有这些提示信息, 一切如往常一样风平浪静, 只不过上网的流量已经被公司悉数掌握.
看到这里, 还不赶紧点开浏览器地址栏的那把锁, 看看证书的签发机构是不是你们公司?
如果是, 那恭喜你了~
最后, 给大家留一个思考题: 微信会受到这种 HTTPS 劫持的影响吗? 欢迎在评论区发表你的看法!
来源: https://segmentfault.com/a/1190000041260307