防止SSL劫持的終極方法

■劉文

防止SSL劫持的終極方法

■劉文

眾所周知，我們正處在一個存在著各種詐騙、劫持的網(wǎng)絡年代，我們的各種帳號密碼很多時候都能很容易地被黑客竊取。由此很多網(wǎng)站使用HTTPS來保護用戶的信息不被竊取。而HTTPS本身所使用的SSL協(xié)議也并不是完美無缺，即使能確保本機安全，也還存在著各種SSL劫持了，令人防不勝防。

曾經(jīng)發(fā)生過并被大眾知曉的SSL劫持有：Comodo CA被黑客入侵用于偽造SSL證書、DigiNotar CA被黑客入侵用于偽造SSL證書、法國政府偽造CA證書用于劫持Gmail等。當然，還有廣為流傳的CNN IC，雖然并沒有被發(fā)現(xiàn)進行過SSL劫持，不過鑒于其之前的所作所為，很多人還是很擔心某天會針對自己進行劫持，而針對單人的劫持比較難以發(fā)現(xiàn)。

所以很多人為了安全起見，將CNN IC的SSL證書標記為不信任，但由此帶來了一些問題，比如中國區(qū)的戰(zhàn)網(wǎng)使用了CNN IC頒發(fā)的證書導致無法連接，中國區(qū)的W indow s Azure也使用了CNN IC頒發(fā)的證書導致無法連接等問題。而除了CNNIC，很多人還擔心很多中級CA機構會以更隱蔽的方式進行劫持。

鑒于存在著這些問題，那么就需要有相應的解決方法。筆者在這里介紹一個用于預防SSL劫持的開源工具，使用中不存在刪除證書的各種問題，也不存在擔心中級CA機構的問題。此工具的項目地址為：https://github.com/lehui 99/scphcp，依賴于python，安裝python后根據(jù)項目主頁中的問于答進行操作即可使用。

使用此工具后只能防止SSL劫持，并不能防止HTTP劫持，所以訪問重要的網(wǎng)站時需要確保使用的是HTTPS進行訪問。目前使用此工具需要一定的電腦知識，需要會安裝python并設置環(huán)境變量并編輯配置文件，筆者會在后續(xù)開發(fā)中制作一個簡易使用的exe版給大家。