沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

SSL中间人攻击频发,为什么还需要SSL证书?

近期SSL中间人攻击事件频发

微软账号系统遭遇大规模SSL中间人攻击

苹果iCloud遭SSL中间人劫持,用户如何防范隐私泄露

根本停不下来:Yahoo在中国遭遇SSL中间人攻击

 

近期SSL中间人攻击的事件频发,甚至动摇了人们对SSL加密安全的信心。很多不知情的用户可能认为,既然SSL常常被攻击,那还不如不用呢!SSL攻击频发,并不意味着SSL证书不安全,没有SSL的网络,更不安全。

当您访问受SSL证书保护的网站时,如果有中间人攻击或其他不安全因素,浏览器会自动警告,告知您可能面临的风险;

而没有SSL证书保护的网站,采用不安全的http明文传输协议,根本无需中间人攻击,隐私信息直接明文“裸奔”了,不是专业黑客,也能截获隐私数据。http没有一种签名机制,来验证内容的真实性,即使页面被篡改了,浏览器也完全无法得知,更无法预警告知用户。

我们所能做的,不是排斥SSL证书应用,而是真正了解SSL工作原理,正确利用这种防护措施,保障自己的隐私安全,并朝新的方向展望——让SSL加密无所不在!

 

今天就以IE浏览器为例,说说用户该怎么判断网站有没有SSL证书保护,如何通过SSL证书状态,判断网站是否存在安全隐患!

 

如何判断网站有没有SSL证书保护?

1、可使用https:// 正常访问;

2、浏览器显示醒目安全锁,点击安全锁,可查看网站真实身份。

3、使用了EV SSL证书的网站,显示绿色地址栏!

如果您访问的网站呈现以上特征,说明该网站已受SSL证书保护。

 

 

 

如何通过SSL证书 检查网站是否存在安全隐患!

受SSL证书保护的网站,浏览器会自动查验SSL证书状态,确认无误,浏览器才会正常显示安全锁标志。而一旦发现问题,浏览器会报各种不同的安全警告。一旦出现安全警告,绝对不能继续访问!!虽然某买票网站至今仍强迫用户继续浏览,但这并不表示这种做法是正确。

 

1. 部署了 SSL 证书的网站网页不能有不安全因素

部署了 SSL 证书的网站正常情况下会自动显示安全锁标志,但如果部署了 SSL 证书的网站有不安全因素就会有警告,表明此页面中含有指向其他没有部署 SSL 证书的页面,为了安全起见,建议您选择 “ 否 ” ,浏览器就不显示不安全的内容,这些内容一般都是 Flash 动画或 Java Script ,如果选择 “ 是 ” ,则浏览器不会显示安全锁标志。

2. SSL 证书不是由浏览器中受信任的根证书颁发机构颁发的,则浏览器会有安全警告

对于 IE 浏览器,您可以浏览器的“工具” – “ Internet 选项” – “内容” – “证书”,就能看到 “ 受信任的根证书颁发机构 ” ,如下图所示,表明 IE 浏览器能正常识别出这些证书颁发机构颁发的数字证书:

受信任的颁发机构

而如果 SSL 证书不是由浏览器中 “ 受信任的根证书颁发机构 ” 颁发的,则浏览器会有安全警告。如图所示, IE7 浏览器的警告信息为 “ 此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站。

此次iCloud网站报错,正是因为SSL中间人劫持过程中,使用了自签的SSL证书。而浏览器检测到这个异常,才会报错提醒。而很多用户忽视了这一警告,继续登录使用,才会造成账号泄露。

iCloud-IE

3. 如果是浏览器能识别的 SSL 证书,则接着就要检查此 SSL 证书是否已经被吊销

如果是浏览器能识别的 SSL 证书,则接着就要检查此 SSL 证书中的证书吊销列表,如果此证书已经被证书颁发机构吊销,则会显示警告信息:“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”如下图所示:

4. 如果此证书没有被吊销,则接着会检查此证书是否过期

如果此证书没有被吊销,则接着会检查此 SSL 证书是否过期,如果证书已经过了有效期,则一样会显示警告信息:“ 此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”如下图所示:

5. 如果此 SSL 证书是在有效期内,则检查部署此 SSL 证书的网站的域名是否与证书中的域名一致

如果此 SSL 证书是在有效期内,则检查部署此 SSL 证书的网站的域名是否与证书中的域名一致,如果不一致,则浏览器也会显示警告信息:“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”如下图所示:

6. 如果以上都没有问题, IE7 浏览器还会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单

如果以上都没有问题, IE7 浏览器还会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单,如果是,则会显示:“ IE 已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页,并且不要继续浏览该网站。 ”如下图所示:

7. 新版浏览器还要此证书是否是EV SSL证书

如果以上都没有问题,新版浏览器(IE7以上版本)而且还要检查此证书是否是EV SSL证书,如果不是,则显示一般SSL证书的安全锁标志;如果是,则需要按照EV SSL证书标准来显示EV SSL证书(包括:绿色地址栏、显示此证书的单位名称和安全锁标志等)。如下图所示:

 

参考文档http://www.wosign.com/FAQ/how_browser_check_SSL.htm

 

 

发表评论