HTTPS如何保证防劫持?

简介:     SSL证书,网络的发展已经成为人们生活中非常重要的组成。因此,保护用户隐私,维护数据传输安全成为SSL证书最重要的功能。但是流量劫持、HTTPS劫持等情况还是比较常见的,如何防止劫持呢?SSL证书服务,SSL证书安装,SSL证书,HTTPS劫持.  一、HTTPS劫持  目前互联网上发生的流量劫持基本是两种手段来实现的:  域名劫持:通过劫持掉域名的DNS解析结果,将HTTP请求劫持到特定IP上,使得客户端和攻击者的服务器建立TCP连接,而非和目标服务器直接连接,这样攻击者就可以对内容进行窃取或篡改。

    SSL证书,网络的发展已经成为人们生活中非常重要的组成。因此,保护用户隐私,维护数据传输安全成为SSL证书最重要的功能。但是流量劫持、HTTPS劫持等情况还是比较常见的,如何防止劫持呢?SSL证书服务,SSL证书安装,SSL证书,HTTPS劫持.
  一、HTTPS劫持
  目前互联网上发生的流量劫持基本是两种手段来实现的:
  域名劫持:通过劫持掉域名的DNS解析结果,将HTTP请求劫持到特定IP上,使得客户端和攻击者的服务器建立TCP连接,而非和目标服务器直接连接,这样攻击者就可以对内容进行窃取或篡改。在极端的情况下甚至攻击者可能伪造目标网站页面进行钓鱼攻击。
  HTTPS劫持
  直接流量修改:在数据通路上对页面进行固定的内容插入,比如广告弹窗等。在这种情况下,虽然客户端和服务器是直接建立的连接,但是数据内容依然可能遭到野蛮破坏。
  二、HTTPS如何防止劫持
  HTTPS,是HTTP over SSL的意思,提到HTTPS就不得不先简单描述一下SSL/TLS协议。SSL协议是Netscape在1995年首次提出的用于解决传输层安全问题的网络协议,其核心是基于公钥密码学理论实现了对服务器身份认证、数据的私密性保护以及对数据完整性的校验等功能。1999年IETF将SSL 3.0标准化,是为TLS 1.0版本,目前TLS协议的最新版本是1.2版本,TLS 1.3标准正在制定中。为了方便,下文将SSL/TLS协议都简称为SSL协议。
  SSL协议在HTTP请求开始之前增加了握手的阶段,在SSL握手阶段,客户端浏览器会认证服务器的身份,这是通过“证书”来实现的,证书由证书权威(CA)为某个域名签发,可以理解为网站的身份证件,客户端需要对这个证件进行认证,需要确定该证书是否属于目标网站并确认证书本身是否有效。最后在握手阶段,通信的双方还会协商出一个用于加密和解密的会话密钥。
  HTTPS劫持
  SSL握手阶段结束之后,服务器和客户端使用协商出的会话密钥对交互的数据进行加密/解密操作,对于HTTP协议来说,就是将HTTP请求和应答经过加密之后再发送到网络上。
  由此可见,因为SSL协议提供了对服务器的身份认证,所以DNS劫持导致连接错误服务器的情况将会被发现进而终止连接,最终导致DNS挟持攻击无法实现。此外SSL协议还提供数据的加密和完整性校验,这就解决了关键信息被嗅探以及数据内容被修改的可能。以上就是关于HTTPS劫持的相关内容介绍。

相关文章
|
自然语言处理 算法 安全
HTTPS是如何保证安全的?
HTTPS是如何保证安全的?
HTTPS是如何保证安全的?
|
安全 算法 网络安全
为什么说HTTPS比HTTP安全 HTTPS是如何保证安全的?
为什么说HTTPS比HTTP安全 HTTPS是如何保证安全的?
131 0
为什么说HTTPS比HTTP安全 HTTPS是如何保证安全的?
|
安全 算法 应用服务中间件
面试官:HTTPS 是如何保证传输安全的?你必须学会。。。(2)
面试官:HTTPS 是如何保证传输安全的?你必须学会。。。(2)
137 0
面试官:HTTPS 是如何保证传输安全的?你必须学会。。。(2)
|
安全 算法 Java
面试官:HTTPS 是如何保证传输安全的?你必须学会。。。(1)
面试官:HTTPS 是如何保证传输安全的?你必须学会。。。(1)
122 0
面试官:HTTPS 是如何保证传输安全的?你必须学会。。。(1)
阿里云Web应用防火墙接入案例分享之http流量劫持
一、概述   在日常使用阿里云Web应用防火墙的用户中,会出现一些对WAF上域名发起http请求时被流量劫持的情况,通过对这些问题案例的梳理,总结了相关方案供大家参考。 二、案例 2.1 案例一 2.1.1 问题背景   某教育门户网站使用海外WAF进行日常web攻击及安全扫描的防护,反馈海外用户无法访问相关二级子域名,国内用户访问无异常。
|
安全 数据安全/隐私保护
一文看懂https如何保证数据传输的安全性的
一文看懂https如何保证数据传输的安全性的 大家都知道,在客户端与服务器数据传输的过程中,http协议的传输是不安全的,也就是一般情况下http是明文传输的。但https协议的数据传输是安全的,也就是说https数据的传输是经过加密。
1495 0
|
Web App开发 JavaScript 前端开发
|
JavaScript 安全 前端开发
【前端安全】JavaScript防http劫持与XSS
作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。
1558 0
|
网络协议 网络安全 数据安全/隐私保护
|
前端开发
SSLStrip 的未来 —— HTTPS 前端劫持
http://www.cnblogs.com/index-html/p/ssl-frontend-hijack.
704 0