网页被劫持植入广告怎么办?使用HTTPS轻松防范!( 二 )


对于小网站,证书也是一个成本 。HTTPS的证书需要专门的机构颁发,大机构颁发的证书不是免费的,每年都得交几百几千块钱才能申请到证书 。小机构的证书尽管便宜甚至免费,但一来适用度不如大机构的证书,二来申请证书始终是麻烦事 。小网站的话,挂靠在拥有证书的服务器是个不错的办法,但更多人是懒得弄了,小网站本来就比较随意,反正连接没加密又不是不能用,哪有这么多心思弄证书 。

网页被劫持植入广告怎么办?使用HTTPS轻松防范!

文章插图
如果证书不对,HTTPS连接会被浏览器认为不安全 。
除此以外,HTTPS的兼容也有一定问题 。例如网站部署了HTTPS后,页面想要内嵌其他站点的内容,如果内嵌的只是普通的HTTP内容的话,可能会出现一些问题 。你可以看到一些HTTPS网站中没法内嵌优酷、土豆之类的视频,看视频需要点击跳转,也是由于这个缘故 。
因此,HTTPS主要还是一些资本雄厚的大公司以及对安全有着硬性要求的站点在用 。例如Google,反正有钱,旗下所有网站部署HTTPS也烧得起;例如淘宝,有钱是一方面,作为一个购物网站,花钱这点小事和在安全上捅了篓子相比,根本不值一提,所以淘宝所有的页面都部署了HTTPS 。
HTTPS是否万无一失?
使用了HTTPS,是否就万无一失了呢?也并非如此 。HTTPS的证书就有可能存在安全问题,因为某些颁发证书的机构不按套路出牌 。某些机构会滥发证书,甚至会制造假证书,假证书可以用来进行中间人攻击 。例如,当你使用HTTPS连接到某个站点,浏览器告诉你站点连接是安全的HTTPS,但不好意思,实际上这个HTTPS只是基于假证书的连接,你在网站上做的一切都有可能被假证书的机构窃听 。
这种事情是真实存在的,例如Gmail使用的是Google自己的证书,但MCS就曾经伪造过Gmail的假证书 。用户连接到Gmail的时候,由于Google和MCS都被系统和浏览器信任,所以MCS的假证书也可以用于Gmail的HTTPS连接,这等于是绕开了Google对Gmail的HTTPS加密,Gmail就被MSC劫持了 。对付假证书的最好办法,就是把颁发假证书的机构删掉 。各大浏览器例如Chrome、Firefox等,会时不时宣布吊销某些机构证书的决定,大家可以多留意一下这方面的消息 。
网页被劫持植入广告怎么办?使用HTTPS轻松防范!

文章插图
MCS伪造过证书来劫持Gmail的HTTPS
HTTPS除了防窃听,还可以防止他人修改传输内容,例如防止运营商干扰TCP连接等 。但是运营商看不到传输的数据,还是有办法整你的,例如给你丢几个包之类的 。一些网站会因为换用HTTPS,导致整个IP被封禁,所以一些站点换用HTTPS还是蛮需要勇气的 。
总结:
但无论如何,HTTPS仍是大趋势 。不少业界巨鳄在大力推广HTTPS等安全连接,例如苹果规定商店所有App必须使用HTTPS连接网络,下一代HTTP协议HTTP/2也将强制使用加密连接 。因此,各大站点换用HTTPS等加密连接,只是时间问题 。
网页被劫持强插广告的问题屡见不鲜,虽然使用HTTPS可以很好地防范该问题,但是费用相对较高,而且制作HTTPS的证书也相对麻烦,这就是为什么很多网站没有使用HTTPS的原因 。HTTPS确实可以解决很多问题,希望互联网能尽快使用加密连接,以便更好地保护用户的隐私和安全 。

推荐阅读