用了HTTPS,没想到还是被监控了

李志宽 等级 595 0 0
标签:

大家好,我是周杰伦。

上周,微信里有个小伙伴儿给我发来了张图:

用了HTTPS,没想到还是被监控了

我一瞅,是HTTPS啊!没用HTTP!再一瞅,是www.baidu.com啊,不是什么山寨网站!

我瞬间明白了些什么,让他点击了一下浏览器地址栏中那个表示安全的小锁标志,查看了一下网站使用的HTTPS证书。 用了HTTPS,没想到还是被监控了

果然不出我之所料,证书不是官方的,官方的证书长这样:用了HTTPS,没想到还是被监控了

而那个假的证书是他们公司签发的,看来,他们公司开始对HTTPS流量做解析了,这家伙瞬间瑟瑟发抖···

用了HTTPS,没想到还是被监控了

今天就来跟大家聊一下:HTTPS真的安全吗?

现如今大家每天上网基本上看到的都是使用了HTTPS的网站,有时候特意想找一个HTTP的网站来让新同学练习抓包分析都不好找。

但在几年前,差不多我刚刚开始毕业工作(2014年)的时候,情况却不是这样的,网络上还有大量使用HTTP的网站。

大家知道,HTTP是超文本传输协议,数据内容在网络中都是明文传输的,非常不安全。同在一个宿舍里的同学,随便搞一个中间人劫持就能监听到你浏览了什么视频学习网站。

不仅如此,上网链路中包括寝室路由器在内的各级网络设备都可以探知你的数据,甚至给你插入小广告(其实这种现象现在依然存在,尤其是很多医院、学校的网站,还是很多都是用HTTP,特别容易粘上小广告),一不小心就跳到了广告页面,真是防不胜防。

不久,网站HTTPS化的浪潮很快打来,通过加密这一最简单直接的办法,将浏览器上网过程中传输的数据进行加密保护,上网内容的安全性得到了极大的提升。

我之前写过一篇故事深入浅出的描述了HTTPS的工作原理,还不懂的小伙伴儿可以学习一下,我经常也会在面试中考察候选人这个问题,这可以迅速帮助我知道对方对HTTPS的了解程度。

咱们通过下面的快问快答环节来简单总结一下。

用了HTTPS,没想到还是被监控了

看到了吧,HTTPS能够安全的基石是非对称加密,非对称加密建立的前提是对方真的是对方,如果这一个前提不成立,后面的一切都是假的!

网站服务器使用HTTPS进行通信时,会提供一个用于证明身份的证书,这个证书,将会由某个受信任的机构签发。

浏览器拿到这个证书后,会校验证书的合法性,去检查证书的签发机构是不是受信任的。

那如何去检查签发机构是不是受信任的呢?

答案是继续检查签发机构的证书,看看是谁给他签发的,一直这样追溯,直到找到最终的签发者,看看最终的签发者的证书是不是安装在操作系统的受信任的根证书列表中。

用了HTTPS,没想到还是被监控了

是不是已经晕了?没关系,我们来用百度的那个证书为例,看一下这个过程,你就知道什么意思了。

你可以通过点击证书路径tab页面查看证书的签发链条:

用了HTTPS,没想到还是被监控了

通过这个树形结构图,可以清晰地看到:

baidu.com这个域名使用的证书,是由名为GlobalSign Organization Validation CA - SHA256 - G2的颁发者签发的。

而这个颁发者的证书,又是由GlobalSign Root CA - R1签发的。

浏览器拿到这个最顶层的签发证书后,去操作系统安装的受信任的根证书列表中一找,嘿,还真让它找着了!

用了HTTPS,没想到还是被监控了

于是,浏览器信任了这个证书,继续接下来的通信过程。

如果找不到,浏览器就会弹出不受信任的消息,提醒用户要当心了!

![在这里插入图片描述](https://img-blog.csdnimg.cn/122dd453ad174692a494a945ff81c619.png?x-oss- process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBARHhBeEZ4QQ==,size_20,color_FFFFFF,t_70,g_se,x_16)

而如果,有人在你的电脑中安装了一个自己的根证书进去,骗过浏览器,这一切安全的根基也就倾覆了。

而文章开头那个小伙伴儿之所以弹出了那个窗口,多半是根证书还没安装进去,就开始了HTTPS劫持。因为重启之后,便再也没有这些提示信息,一切如往常一样风平浪静,只不过上网的流量已经被公司悉数掌握。

看到这里,还不赶紧点开浏览器地址栏的那把锁,看看证书的签发机构是不是你们公司?

如果是,那恭喜你了~

用了HTTPS,没想到还是被监控了

最后,给大家留一个思考题:微信会受到这种HTTPS劫持的影响吗? 欢迎在评论区发表你的看法!

收藏
评论区

相关推荐

我是Redis,MySQL大哥被我害惨了!
本文转自 轩辕之风 ,链接如下 https://mp.weixin.qq.com/s?__bizMzIyNjMxOTY0NA&mid2247486528&idx1&sn3f7b09eb21969fdb16f5b0805ff69fed&scene21wechat_redirect 我是Redis 你好,我是Redis,一个叫Antirez的
HTTPS
### 最近网站更新为https,于是做个笔记 ### 将域名 [www.domain.com](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fwww.domain.com) 的证书文件1\_www.domain.com\_bundle.crt 、 ### 私钥文件2\_www.doma
HTTPS 证书被伪造了怎么办?
`HTTPS` 协议的安全依赖于它的证书机制,如果攻击者申请到了一张和你的网站一摸一样的证书,那你网站的安全机制也就不复存在了。本文来聊一聊,如何预防 `HTTPS` 证书伪造。 证书劫持 ---- ![](https://oscimg.oschina.net/oscnet/ba3fe48d-b1bb-417a-9fc6-4f4f6c6510de
HTTPS
楔子 谣言粉碎机前些日子发布的《[用公共WiFi上网会危害银行账户安全吗?](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fwww.guokr.com%2Farticle%2F100110%2F)》,文中介绍了在使用HTTPS进行网络加密传输的一些情况,从回复来看,争议还是有的。随着网络越
HTTPS就安全了吗?会被抓包吗?看完这篇你有对答如流
![](https://oscimg.oschina.net/oscnet/4b59be60e0f62ed21d975f8fab2c64d7357.jpg) 作者:leapMie cnblogs.com/leap/p/11953836.html 关注Vue中文社区,每日精选好文 ### **HTTPS**
HTTPS请求
##HTTPS请求## > **HttpsUtils代码** package com.ices.utils.httpsHelp; import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader;
HTTP是时候安息了:HTTPS才是王道!
Mozilla安全工程师Richard Barnes近日发出呼吁,号召开发人员放弃不安全的HTTP协议,全面转向**HTTPS**。 他希望浏览器能将更多的新功能仅开放给HTTPS,从而逐渐淘汰HTTP,目的自然是提高安全性。 他在一份报告中写到:“为了鼓励Web开发人员从HTTP转向HTTPS,我想提议设置一个淘汰不安全HTTP的计划。笼统地说,该计划
JDK14祭出新特性,Lombok要被终结了!
[99套Java企业级实战项目](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzAxNDMwMTMwMw%3D%3D%26mid%3D2247494978%26idx%3D1%26sn%3D46ae99739689436a24
IP被攻击了怎么办
1、断开所有网络连接。 服务器之所以被攻击是因为连接在网络上,因此在确认系统遭受攻击后,第一步一定要断开网络连接,即断开攻击。 2、根据日志查找攻击者。 根据系统日志进行分析,查看所有可疑的信息进行排查,寻找出攻击者。 3、根据日志分析系统。 根据系统日志进行分析,查看攻击者是通过什么方式入侵到服务器的,通过
Chrome 的小恐龙游戏,被我破解了...
一个阳光明媚的周末,透光的窗帘把我从睡梦中叫醒,大脑说今天是周六,可以慵懒个一上午,于是开心地打开我的 Mac 准备看两集 [Rick and Morty](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzIwNTU3NTI4N
Redis缓存被污染了,该怎么办?
在一些场景下,有些数据被访问的次数非常少,甚至只会被访问一次。当这些数据服务完访问请求后,如果还继续留存在缓存中的话,就只会白白占用缓存空间。这种情况,就是缓存污染。 1.如何解决缓存污染问题? ============= 要解决缓存污染,我们也能很容易想到解决方案,那就是得把不会再被访问的数据筛选出来并淘汰掉。这样就不用等到缓存被写满以后,再逐一淘汰旧
我的网站被ddos攻击了怎么办?
像题主这样的情况,可以先等攻击的情况缓解了以后,再去优化并且建立自己网站的防御系统。不管是什么网站,遭受到一次DDoS攻击产生的后果还是很严重的。而且基本上每过一段时间,新闻就会报道某大型网站遭到DDoS攻击,导致网站瘫痪,无法正常访问的内容。可见DDoS攻击危害之大。今天队长就带大家看看DDoS攻击时我们应该怎么办?怎么做好防御工作?在这之前我们先系统地了
用了HTTPS,没想到还是被监控了
大家好,我是周杰伦。上周,微信里有个小伙伴儿给我发来了张图:我一瞅,是HTTPS啊!没用HTTP!再一瞅,是www.baidu.com啊,不是什么山寨网站!我瞬间明白了些什么,让他点击了一下浏览器地址栏中那个表示安全的小锁标志,查看了一下网站使用的HTTPS证书。果然不出我之所料,证书不是官方的,官方的证书长这样:而那个假的证书是他们公司签发的,看来,他们公