SSL证书是怎样防流量劫持的?

流量劫持属于中间人攻击的一种,是攻击者通过嗅探和篡改通信内容来插入数据并获取重要信息。目前互联网中比较常见的劫持主要通过两种方式实现:域名劫持和直接流量修改。

流量劫持属于中间人攻击的一种,是攻击者通过嗅探和篡改通信内容来插入数据并获取重要信息。目前互联网中比较常见的劫持主要通过两种方式实现:域名劫持和直接流量修改。

域名劫持

域名劫持是指通过劫持域名的DNS解析结果,将HTTP请求劫持到特定IP上,使客户端和攻击者的服务器建立TCP连接,而不是直接与目标服务器连接,从而使攻击者能够窃取或篡改内容。一些极端情况下,攻击者甚至可以伪造目标网站的网页进行钓鱼攻击。

直接流量修改

直接流量修改是在数据通道中插入页面的固定内容,如广告弹窗等代码。这样的话,尽管客户机和服务器已经建立了直接的连接,但数据内容仍然会受到严重破坏。

造成流量劫持的根本原因,在于HTTP协议不能检查通信双方的身份,也不能检查数据完整性。若此问题得以解决,则很难发生流量劫持,而SSL证书则可以很好地解决这个问题。

SSL证书如何防止流量劫持?

在HTTP请求开始之前,SSL协议增加了握手阶段,在SSL握手阶段,客户端浏览器将验证服务器的身份,这是通过“证书”实现的。证书由证书授权机构(CA)为某个域名颁发,可以被理解为网站的身份证明文件,客户端将需要对此证件进行验证,需要确定此证书是否属于目标网站,以及确认证书本身是否有效。最终在握手阶段,通信双方还将就用于加密和解密的会话密钥进行协商。

在SSL握手阶段结束后,服务器和客户端使用协商出的会话密钥加密/解密交互式数据,在HTTP协议中,就是在加密HTTP请求和应答后再发送给网络。

由此可以看出,由于SSL协议提供了对服务器的身份认证,因此如果DNS劫持导致连接错误服务器将被发现并终止连接,最终导致DNS劫持攻击无法实现。另外,SSL协议提供了数据加密和完整性检查,从而解决了关键信息被嗅探和数据内容被修改的可能性。

SSL证书是怎样防流量劫持的?

如何部署SSL证书?

为了使网站获得HTTPS支持,达到防劫持的效果,首先需要为网站的域名申请SSL证书。由于在大多数浏览器和操作系统中都广泛预埋了可信 CA的根证书,因此客户端可以使用根证书来检查网站证书是否合法,所以该证书必须由可信CA颁发。

常规CA的证书发放过程基本相同,基本上都是按照证书的认证等级,进行一系列不同过程的认证,之后申请者在通过认证后支付相应费用即可获得证书。这一过程相对比较繁琐,特别是对个人和小规模的网站管理人员来说确实很麻烦,可以参考SSL证书申请专栏进行安装部署SSL证书

乔客安全咨询保留著作权,发布者:嗷呜,转载请注明出处:https://www.qiaokr.com/article/11066