現今社會早已步入了互聯網+時代，以個人信息/隱私為中心，這個時代為每個參與信息交互的個體編織了一張大網，網絡上的每個節點構成了我們的生活。當打開銀行網頁的瞬間，你的銀行憑證、E-mall、家庭住址、聯系人信息都已在黑客的股掌之中，而我們還后知后覺。其實，這就是傳說的“中間人攻擊”，通過攔截通信數據，進行數據篡改和嗅探。

14年10月，微軟、蘋果iCloud、雅虎等遭到大面積的SSL中間人攻擊，是國際上非常嚴重的中間人攻擊事件。我們國內的大部分用戶的隱私也一覽無遺，用戶在這些網站上輸入及存儲在云端的私房照片、帳號密碼信息等都被黑客復制。

[[261320]]

問題來了，SSL安全證書原本是保障數據信息的完整性和保密性的，為什么還會有SSL中間人攻擊呢？難道https也無法保證網絡通信安全？

SSL中間人攻擊的三大場景

其實，SSL是十分安全的，要想攻破沒那么簡單。SSL證書是一種安全協議，是為網絡通信提供安全和數據的完整性的，它可以驗證參與通訊的一方或雙方使用的證書是不是由權威可信的數字證書認證機構頒發的，并且能執行雙向身份認證。

我們所遇到的SSL中間人攻擊方式是通過剝離、偽造SSL安全證書來達成的。也可以理解為，當遇到中間人攻擊的時候，問題并不在SSL協議和SSL安全證書本身，而是在于證書的驗證環節。

不過中間人攻擊還有一個前提條件，就是沒有嚴格對證書進行校檢和認證的信任偽造證書。因此，以下是最容易被用戶忽視的驗證環節：

場景一：網站無任何防護措施，沒有部署SSL安全證書，處于http的裸奔狀態。這種場景下，網絡黑客們可以直接通過網絡抓包的方式，明文獲取正在傳輸中的數據。

場景二：網絡黑客們通過偽造SSL證書進行攻擊，這時企業安全意識薄弱選擇據需操作。受到SSL安全證書保護的網站，瀏覽器會自動檢查SSL證書的狀態，確認無誤瀏覽器后才會正常顯示安全鎖標志。并且一旦發現問題，瀏覽器會發出各種不同的安全警告。

場景三：網絡黑客偽造SSL證書，網站和APP只做了部分證書校驗，導致假證書渾水摸魚。當證書校驗過程中只做了證書域名是不是匹配，或證書是不是過期的驗證，卻不是對整個證書鏈進行校驗，那么黑客們即可輕松生成任意域名的偽造證書進行中間人攻擊。

怎么預防SSL中間人攻擊？

首先我們要明白一個事情，真正的https是不存在SSL中間人攻擊的，所以我們首當其沖的是要確定網上是否部署了SSL安全證書的保護。

用戶如何斷定網站是否有SSL證書保護呢？

1、可使用https:// 正常訪問；

2、瀏覽器左上角有醒目安全鎖標識，點擊安全鎖，即可看到網站的真實身份；如果EV型的SSL證書網站，會顯示綠色地址欄；

3、對SSL進行完整的證書鏈校檢，正規的數字證書頒發機構，在檢驗申請者的真實身份后才會給企業頒發SSL安全證書，這便意味著保護用戶信息安全的第一道關卡。 在數字證書行業中，數安時代GDCA下發的證書占據著SSL安全證書市場的一定份額，通過數安時代GDCA頒發的證書，在每個瀏覽器中都能識別的到的，用戶可以放心的使用。

一個網站如果具備以上三點特征，說明該網站已經受到SSL安全證書的保護，最后要采用權威CA機構頒發的受信任的SSL證書。

當瀏覽器可以識別SSL證書，便檢查此SSL證書中的證書吊銷列表，如果該證書已經被證書頒發機構吊銷，會顯示“該組織的證書已被吊銷，安全證書問題會顯示企圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁，不要繼續瀏覽該網站。”

如果證書已經過了有效期，一樣會顯示與被吊銷SSL證書一樣的警告信息。如果證書在有效期內，還須檢查部署此SSL證書的網站域名是否與證書中的域名一致。

以上都沒有問題的情況下，瀏覽器還會查詢網站是不是已經被列入欺詐網站黑名單，有問題的話也會顯示警告信息。

綜合以上所講，當企業可以做到證書的部署和校檢環節的完整；個人可以做到認證觀察https的標識并識別它的真實性和有效性等信息，https基本上是無法被攻擊的，而SSL中間人攻擊就會成為一個偽命題。