网站内容劫持 广告( 运营商劫持自签名证书因安全性问题敢劫持HTTPS网站？)

　　网站内容劫持 广告(

运营商劫持自签名证书因安全性问题敢劫持HTTPS网站？)

　　由于安全问题，越来越多的网站开始部署HTTPS加密连接，但基于安全考虑，并不是每个人都愿意部署HTTPS。

　　例如，在各个地方，运营商一般会在用户访问时劫持并投放广告，但如果网站使用HTTPS加密连接，则劫持是不可能的。

　　原因是如果运营商劫持了HTTPS连接，就需要伪造SSL证书。在这种情况下，浏览器会发出警告，提醒用户不要访问。

　　但是如果你的网站或者应用使用了自签名证书，你可能需要注意一些运营商已经开始伪造自签名证书进行劫持。

　　中国电信劫持自签名证书：

　　昨天，有微博网友称，在某些地区使用电信接入时，网站使用的自签名证书将被替换为其他自签名证书。

　　具有讽刺意味的是，原来的自签名证书使用的是SHA256算法，劫持时运营商替换的自签名证书算法使用的是过时的SHA1。

　　事实上，由于安全问题，世界上所有证书颁发机构早在去年就停止颁发基于SHA-1算法的SSL证书。

　　运营商敢于公然根据这种算法直接颁发证书，劫持用户访问HTTPS加密，也是自签名的原因网站。

　　如上图：左边是网站原来使用的基于SHA256算法的自签名证书，右边是算子替换的基于SHA1的证书。

　　运营商为何敢劫持自签名网站？

　　就目前的情况来看，虽然运营商劫持在国内屡见不鲜，但从未有过劫持HTTPS网站的先例，尤其是使用可信CA颁发的证书。

　　原因是如果运营商胆敢劫持这类可信证书，用户的浏览器会立即发出警告，提醒用户不要访问这个网站。

　　但是，使用自签名证书的 网站 是不同的。当用户访问这个网站时，浏览器仍会发出警告，提醒用户该证书不受信任。

　　因此，运营商劫持并替换自签名证书后，用户访问时，与原来的自签名证书没有区别，这是一个警告。

　　所以无论是用户访问还是网站管理员访问，几乎都找不到问题所在，这也可以说是此类劫持的最大危害之一。

　　但是这个网站的管理员是怎么发现被替换的证书并劫持的呢？原来是网站的软件验证了证书的指纹信息。

　　由于运营商伪造证书的指纹信息与网站的原创自签名证书指纹信息不同，管理员发现了运营商的这一活动。

　　直接伤害：

　　无论是受信任的证书颁发机构颁发的证书还是自签名证书，任何劫持都意味着运营商可以监控一切。

　　以上面的网站为例。当用户访问网站游戏时，账号密码等信息，运营商系统可以看到具体内容。