GlobalSign 新闻中心

07 2021

SSL证书是怎样防流量劫持的?

从总体上看,流量劫持属于中间人攻击的一种,其实质是攻击者通过嗅探和篡改通信内容来插入数据并获取重要信息。

当前网络中出现的流量劫持主要通过两种方式实现:域名劫持和直接流量修改。

域名劫持:是指通过劫持域名的DNS解析结果,将HTTP请求劫持到特定IP上,使客户端和攻击者的服务器建立TCP连接,而不是直接与目标服务器连接,从而使攻击者能够窃取或篡改内容。一些极端情况下,攻击者甚至可以伪造目标网站的网页进行钓鱼攻击。

直接流量修改:在数据通道中插入页面的固定内容,如广告弹窗等。这样的话,尽管客户机和服务器已经建立了直接的连接,但数据内容仍然会受到严重破坏。

造成流量劫持的根本原因,在于HTTP协议不能检查通信双方的身份,也不能检查数据完整性。若此问题得以解决,则很难发生流量劫持,而SSL证书则可以很好地解决这个问题。

SSL证书如何防止流量劫持?

在HTTP请求开始之前,SSL协议增加了握手阶段,在SSL握手阶段,客户端浏览器将验证服务器的身份,这是通过“证书”实现的。证书由证书授权机构(CA)为某个域名颁发,可以被理解为网站的身份证明文件,客户端将需要对此证件进行验证,需要确定此证书是否属于目标网站,以及确认证书本身是否有效。最终在握手阶段,通信双方还将就用于加密和解密的会话密钥进行协商。

在SSL握手阶段结束后,服务器和客户端使用协商出的会话密钥加密/解密交互式数据,在HTTP协议中,就是在加密HTTP请求和应答后再发送给网络。

由此可以看出,由于SSL协议提供了对服务器的身份认证,因此如果DNS劫持导致连接错误服务器将被发现并终止连接,最终导致DNS劫持攻击无法实现。另外,SSL协议提供了数据加密和完整性检查,从而解决了关键信息被嗅探和数据内容被修改的可能性。

怎样部署SSL证书?

为了使网站获得HTTPS支持,达到防劫持的效果,首先需要为网站的域名申请SSL证书。由于在大多数浏览器和操作系统中都广泛预埋了可信 CA的根证书,因此客户端可以使用根证书来检查网站证书是否合法,所以该证书必须由可信CA颁发。

常规CA的证书发放过程基本相同,基本上都是按照证书的认证等级,进行一系列不同过程的认证,之后申请者在通过认证后支付相应费用即可获得证书。这一过程相对比较繁琐,特别是对个人和小规模的网站管理人员来说确实很麻烦,建议大家到GlobalSign网站(https://www.globalsign.cn/ssl.shtml )上进行网上申请。

GlobalSign是一家互联网身份服务公司,为需要进行安全的商业,通信,内容交付和社区互动的企业提供云和内部IAM和PKI解决方案。我们的身份平台允许企业部署安全的电子服务,管理员工和扩展的企业身份,并为移动设备,用户和机器的部署自动化的PKI。

申请SSL证书就选GlobalSign!

返回 GlobalSign 新闻中心