HTTPS中间人攻击防护

Tue, 04 Mar 2025 09:31:00 +0000

考察点分析

核心能力维度：HTTPS安全机制理解、证书体系运作原理、浏览器安全策略实施能力

中间人攻击原理：理解经典MITM攻击手段（如SSL剥离/伪造证书）
证书链验证机制：掌握证书层级校验、信任锚点验证、域名匹配规则
证书吊销校验：区分CRL/OCSP校验流程及时效性差异
HSTS强制策略：理解协议降级防护机制与预加载机制

技术解析

关键知识点

证书链验证 > OCSP Stapling > HSTS > CRL

原理剖析

中间人攻击场景：
攻击者通过ARP欺骗/DNS劫持将流量导至代理服务器，使用自签名证书解密流量（需用户手动信任假证书），或配合SSL剥离将HTTPS降级为HTTP。

证书链验证流程：

浏览器获取服务器证书，验证证书有效期/域名匹配
向上递归验证中间CA证书，直到受信任的根证书库
验证证书链完整性（证书中指定的issuer与上级证书subject匹配）
检查证书吊销状态：
- CRL：下载证书吊销列表（周期性更新，存在时间差）
- OCSP：实时查询证书状态（通过请求OCSP响应器，可能暴露用户隐私）

HSTS机制：
服务器通过Strict-Transport-Security响应头声明HTTPS强制策略（包含max-age、includeSubDomains等参数）。浏览器在有效期内自动将HTTP请求转换为HTTPS，并拒绝不安全的证书警告。

常见误区

认为所有中间人攻击都可被证书校验拦截（忽略用户主动信任恶意证书的情况）
混淆CRL文件更新周期与OCSP实时查询的差异
误以为HSTS可完全防御首次访问的中间人攻击（依赖首次安全访问）

问题解答

中间人攻击劫持流程：
攻击者通过伪造证书或协议降级，在客户端与服务器之间建立两个独立SSL连接，转发解密后的数据。需要用户忽略证书错误或配合其他攻击手段（如WiFi热点欺诈）。

证书链校验流程：

浏览器验证服务器证书的域名、有效期、签名
递归验证中间CA证书，直至信任的根证书
检查吊销状态：
- 优先使用OCSP实时查询（返回"good"/“revoked"状态）
- 或下载CRL文件核对序列号

HSTS生效流程：

服务器返回Strict-Transport-Security头部（例：max-age=31536000; includeSubDomains）
浏览器记录该域名在未来31536000秒内必须使用HTTPS
后续所有HTTP请求自动转换为HTTPS（地址栏输入亦生效）
内置HSTS预加载列表可防御首次访问攻击

解决方案

配置示例（Nginx）

 # 强制启用HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

# 启用OCSP Stapling优化
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/full_chain.pem;
resolver 8.8.8.8 valid=300s;

注释说明：

证书校验 on ZiYang FrontEnd Interview

HTTPS中间人攻击防护

考察点分析 link

技术解析 link

关键知识点 link

原理剖析 link

常见误区 link

问题解答 link

解决方案 link

配置示例（Nginx） link