经常听说网站被劫持,那对于https最常见的攻击手段就是SSL证书欺骗或者叫SSL劫持,这种攻击方式是很典型的中间人攻击。不过,在特殊的情况下SSL劫持也可以成为我们更顺畅的浏览网络的一种方式。
但是如果遇到SSL劫持是以攻击的目的,一旦忽略浏览器的提示我们就会轻易被攻击。所以在整个过程中,实际上浏览器会作出提示,我们常看到在浏览有些网站的时候,浏览器会发出警告提示网站不安全,阻止进行访问,这个过程是中间人给浏览器发送了一个伪造的SSL证书,因为浏览器不信任这个证书,所以浏览器就会提示。
那么,SSL证书不被信任的时候就一定存在证书劫持吗?
当我们在遇到个人网站使用自制的证书的时候也会出现这种情况。如果你对这个网站特别熟悉,你就不会担心,即使有这种提示出现,你也会进行浏览。如果遇到像是网银、在线支付或者一些公司性质的公共大型交易平台,出现这种情况,那么就一定要警惕性要高。这里有个特例就是12306的,不过我们应该特殊情况特殊对待。
如果遇到证书不信任应该及时终止浏览,以免发生因为证书被劫持,而上当受骗。因为网络一旦存在异常的行为时,证书就不会被信任,浏览器也会进行适当的提醒。作为个人用户,一旦不能分辨网站有什么问题的前提下,一定要及时停止访问这个页面。而且,一般情况下我们也不会经常遇到个人网站自制证书这种情况,即使有也要警惕。
我们应该注意什么问题呢?SSL证书根证书不要随便添加或者明确证书来源以后再添加。一旦出现证书警告的提示,一定要提高警惕,能不浏览就尽量不在访问这个网站。