大多数安全专家会建议在任何地方都使用 HTTPS。不可否认，这是一个你应该应用的好建议。

但是，对于大多数用户（包括精通技术的用户）来说，它通常会产生误导。

HTTPS 解决了什么问题？

HTTPS 为 HTTP 协议实现 TLS（传输层安全）。当您使用浏览器与网站交互时，您每天都会发送 HTTP 请求，这些交互称为 HTTP 请求和响应。

TLS 的想法是防止数据以纯文本形式发送（如 HTTP），如果攻击者设法拦截请求，则允许他们读取它。此类攻击非常频繁，网络犯罪分子喜欢嗅探受害者的流量以收集机密信息。

TLS 使用加密密钥保护通信，因此理论上，即使有人设法拦截请求（例如，中间人攻击），也无法利用数据（随机字符串）。

TLS 握手简而言之

在幕后，用户设备和服务器之间发生了 TLS 握手。粗略地说，这是客户端和服务器同意使用特定会话密钥通过安全通道进行通信的方式。

这些握手涉及一系列消息和各种步骤，我们不会在这里介绍，但我们只是说有一些方法可以滥用该机制。

研究人员和网络犯罪分子发现了各种攻击角度来欺骗身份和冒充 TLS 客户端。这就是 TLS 不断发展的原因，最近的版本不再支持 RSA 和其他容易受到攻击的密码。

简称 TLS 证书

托管服务通常免费提供 SSL 证书（例如 Let's encrypt）或收取特定费用。

该证书包含网站的公钥和其他信息，以允许想要建立连接的设备验证服务器的身份和网站的所有权，从而防止伪造副本。

证书由独立于托管服务提供商的证书颁发机构 (CA) 交付，但它们通常会为其客户处理安装和激活。一旦它被激活并且证书有效，您会看到一个锁定图标（通常为绿色），并且可以对通信进行加密。

网站也可以拥有未经任何官方机构 (CA) 验证的自签名证书，但它可能会被浏览器标记为“不安全”。

这并不意味着自签名证书总是恶意的，但旨在覆盖数百万用户的公共网站至少应该由 CA 验证。

不要相信挂锁

锁定图标可能会给人一种安全的错误印象，因为网络犯罪分子也可以获得用于拼写域名的合法 SSL 证书。事实上，大多数网络钓鱼和诈骗网站都是 HTTPS。

注册一个类似于流行网站的域名并激活 SSL 证书使其看起来合法并不复杂。2017 年，曾旭东甚至设法使用 Punycode (xn–pple-43d.com) 欺骗了 apple.com。默认情况下不显示这些特殊字符的客户端不会让用户看到差异。

“更复杂”的场景可以包括手动将所有受害者的流量路由到外部服务器。攻击者还可以创建虚假网络或路由器。换句话说，在某些情况下，可以在受害者不知情的情况下充当代理人，而受害者不会改变他们的行为，因为看起来没有任何问题。

HTTPS流量可以解密

设法嗅探流量的攻击者可以使用 Wireshark 等开源软件来分析 TLS 数据包。当然，TLS 正是针对这种情况的，但是实现 TLS 的软件（例如，浏览器）将密钥和秘密写入系统上的特定文件，允许攻击者在可以读取配置文件的情况下解密截获的数据包。

每个操作系统都有自己的实现，但是当您拥有受害者的机器时，这并不是最难实现的任务，例如，使用SSLKEYLOGFILE.

HTTPS 是否隐藏 URL？

当您访问网站时，TCP 连接和未加密的 DNS 查询会在幕后发生，因此 HTTPS 不会隐藏主机名等关键信息。理论上，攻击者无法看到目标用户正在访问的特定页面，但如果网站不使用 HSTS（HTTP 严格传输安全），一种强制浏览器仅使用 HTTPS 连接的策略，许多 MITM 攻击可以成功。

有动机的攻击者还可以进行更深入的分析，并通过某些 HTTP 响应的长度或通过特定的 HTTP 标头（例如referer）推断出一些路径。对于具有混合内容并通过 HTTP 提供 JavaScript 或 CSS 等资源的网站尤其如此。事实上，现代浏览器会发出警报，但受害者可以忽略它。

为什么有人会忽略安全警告？

不知道，也许有一部 iPhone 14 可以赢，或者任何其他可以解释这种疯狂行为的奖励。

数据并非处处加密

HTTPS 的目的是确保传输安全，但数据可以在不同的地方被截获，例如在 Web 服务器或数据库上。数据最终会变成静态的，因此 HTTPS 不会使其“无法破解”。

Wrap up

HTTPS 是必要的，但还不够。您应该加强浏览器的配置或转向更安全的替代方案，该替代方案不允许非 HTTPS 流量。

同样，如果该网站没有严格的政策，甚至不要去那里。

“HTTPS”中的“s”确实意味着“安全”，但它具有误导性，因为即使是网络钓鱼网站也可以拥有它。