如何防禦SSL中間人駭客攻擊?

如何防禦SSL中間人駭客攻擊?

當我們在咖啡館連上WiFi打開網頁和電子郵件時,殊不知有人正在監視著我們的各種網路活動。在打開帳戶網頁的一瞬間,也許駭客就已經盜取了我們的銀行憑證、家庭住址、電子郵件和聯繫人資訊,而這一切我們卻毫不知情。這是一種網路上常見的“中間人攻擊”(Man-in-the-Middle Attack, MITM),通過攔截正常的網路通信數據,並進行數據篡改和嗅探。

SSL中間人攻擊的三大場景

事實上,SSL被設計得十分安全,想要攻破並不容易。 SSL是為網路通信提供安全及數據完整性的一種安全協議,它可以驗證參與通訊的一方或雙方使用的證書是否由權威受信任的數位憑證認證機構頒發,並且能執行雙向身份認證。

而我們現在常見的SSL中間人攻擊方式都是通過偽造、剝離SSL憑證來實現的。換句話說,一旦發生SSL中間人攻擊事件,問題並不出在SSL協議或者SSL憑證本身,而是出在SSL憑證的驗證環節。中間人攻擊的前提條件是,沒有嚴格對證書進行校驗,或者人為的信任偽造憑證,因此以下場景正是最容易被用戶忽視的憑證驗證環節:

場景一:網站沒有使用SSL憑證,網站處於HTTP明文傳輸的“裸奔”狀態。這種情況駭客可直接通過網路抓包的方式,明文獲取傳輸數據。

場景二:駭客通過偽造SSL憑證的方式進行攻擊,用戶安全意識不強選擇繼續操作。
SSL憑證保護的網站,瀏覽器會自動查驗SSL憑證狀態,確認無誤瀏覽器才會正常顯示安全鎖標誌。而一旦發現問題,瀏覽器會報各種不同的安全警告。

例如,SSL憑證不是由瀏覽器中受信任的根證書頒發機構頒發的,或者此憑證已被吊銷,此憑證網站的域名與根憑證中的域名不一致,瀏覽器都會顯示安全警告,建議用戶關閉此網頁,不要繼續瀏覽該網站。

場景三:駭客偽造SSL憑證,網站/APP只做了部分憑證校驗,導致假憑證蒙混過關。
例如,在憑證校驗過程中只做了憑證域名是否匹配,或者憑證是否過期的驗證,而不是對整個憑證鏈進行校驗,那麼駭客就可以輕鬆生成任意域名的偽造憑證進行中間人攻擊。

如何防禦SSL中間人攻擊?

首先,真正的HTTPS是不存在SSL中間人攻擊的,因此首當其衝的是要確定網站有SSL憑證的保護。那麼用戶如何判斷網站有沒有SSL憑證保護呢?

可使用https:// 正常訪問。
瀏覽器顯示醒目安全鎖,點擊安全鎖,可查看網站真實身份。
使用了EV SSL憑證的網站,顯示綠色地址欄。
如果用戶訪問的網站呈現以上特徵,說明該網站已受SSL憑證保護。

其次,採用權威CA機構頒發的受信任的SSL憑證。數位憑證頒發機構CA是可信任的第三方,在驗證申請者的真實身份後才會頒發SSL憑證,可以說是保護用戶信息安全的第一道關口。

最後,對SSL憑證進行完整的憑證鏈校驗。如果是瀏覽器能識別的SSL憑證,則需要檢查此SSL憑證中的憑證吊銷列表,如果此憑證已經被憑證頒發機構吊銷,則會顯示警告信息:“此組織的憑證已被吊銷。安全憑證問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁,並且不要繼續瀏覽該網站。”

如果憑證已經過了有效期,一樣會顯示警告信息:“此網站出具的安全憑證已過期或還未生效。安全憑證問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁,並且不要繼續瀏覽該網站。”
如果憑證在有效期內,還須檢查部署此SSL憑證的網站域名是否與憑證中的域名一致。
如果以上都沒有問題,瀏覽器還會查詢此網站是否已經被列入欺詐網站黑名單,如果有問題也會顯示警告信息。

總而言之,企業能夠做到憑證部署和校驗環節完整,個人用戶能夠認真觀察HTTPS安全標識,識別憑證真實性、有效期等信息,HTTPS幾乎是無法攻破的,所謂的SSL中間人攻擊就是一個偽命題。

在網路安全事件頻發的時代,部署HTTPS已是大勢所趨,它用複雜的傳輸方式降低網站被攻擊劫持的風險。當然,實現全網HTTPS不是一件立竿見影的事情,而是需要參與網路的每一家企業都承擔起網路安全的責任,我們每一個個體都增強保護自我隱私的意識,從而共同締造一個安全的網路空間。

提升網路安全與客戶信任的第一步- SSL 數位憑證 服務 

史上最便宜探集SSL憑證700元起

About the Author

Leave a Reply