前段时间,网传宝塔出现0day漏洞会让网站跳转到不良网站(见文『网传宝塔面板出现Nginx漏洞会劫持网站跳转到不良网站』),其实网站被劫持在互联网世界里已经是屡见不鲜。说到被劫持,很多时候还是因为相关的防护没有做到位,别有心之人钻了空子,本文主要简单说一说SSL证书阻止网站被劫持的原理。
为什么自己的网页会被一些小人轻松劫持呢?很大的原因可能是你的网页没有加密,一些运行商通过HTTP劫持来植入广告,HTTPS不失为一个很好的解决妙招!HTTPS能够加密网页传输内容,不仅可以防止强插广告,还可以防盗号。然而,效果如此好的技术,并没有成为主流。无论国内外,很多大网站都仍没有使用HTTPS进行加密。
使用了HTTPS之后,即便被强行插入了一些广告劫持,也无法正常显示,达不到预期的效果,因此,很多搞这些灰产业务的对于开启了https的网站直接选择忽略,不列为目标对象。
https是什么?它是如何阻止网站被劫持的呢?我们通常浏览网站用的是HTTP协议,这个协议也是互联网最为广泛使用的协议之一。但是这种协议说没有加密的,就意味着给了别有用心者很多机会窃听——就如同你上课时给妹子传纸条,传递过程中阿猫阿狗都可以拆开来围观一番,黑点儿的还会往纸条里加料,你开网页被运营商插广告,大致也是这个理儿。如何才能防止信息被篡改?加密是个很好的解决方案。HTTPS,就是加密版的HTTP。
HTTPS使用了SSL/TLS进行加密,这是一套使用公钥/私钥机制的加密系统。使用了HTTPS后,基于证书系统的公钥一方面保证用户连接的是正确的网站,另一方面结合私钥,可以保证网络数据不会被窃听。于是,HTTPS一来可以防止钓鱼(网站带有数字签名,签名不对无法连接),二来加密了传输的数据,他人无法窃听和加料,盗号和插广告无从下手。和HTTP相比,HTTPS的确更能保证用户的隐私和安全。
既然HTTPS这么牛逼,为什么很多网站还是没有选择使用呢?背后的缘由主要还是钱。对于很多纯粹展示性的网站而言,在这方面花钱似乎并不划算,因为即使被姐劫持了直接使用备份的文件重新覆盖部署一下就行了。对于小网站,证书也是一个成本。HTTPS的证书需要专门的机构颁发,大机构颁发的证书不是免费的,每年都得交几百几千块钱才能申请到证书。
产品好不好,试试就知道!对于用户而言,只有通过尝试体验,才能真正感受到产品和服务品质。虽然国外也有部分SSL证书厂商开放免费试用体验,但受限于语言、兼容、签发速度及稳定性等原因,中国本土用户受益者并不多。据悉,JoySSL是中国自主证书品牌中,为数不多的开放免费90天且无门槛试用的厂商。JoySSL免费体验证书产品,不仅包含单域名,还支持多域名和通配符。
永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL:https://www.joyssl.com/certificate/select/free.html
JoySSL致力于 “将门槛进一步拉低,助力 https 全网化普及,让 SSL 证书真正成为网络安全利器。”JoySSL作为一款全球可信的SSL证书品牌,是可以有效防劫持的。能够实施流量劫持的根本原因,是 HTTP 协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题,则流量劫持将无法轻易发生。
注:部分内容转载于互联网,由于不是获取的不是第一版的出处,所阅转载也没有注明原文链接,故原作者认领可以直接评论留言或者邮件联系,我将按照转载规范注明原文出处。
标签:植入,劫持,加密,证书,网站,SSL,HTTPS,被劫持 From: https://www.cnblogs.com/52txr/p/16999705.html