登陸所有網頁都是「此網站安全證書存在問題」的情況用https刪除後面的s這個方法解決是什麼原理?
背景:在用校園網的情況下,打開所有網頁都是安全證書存在問題的提示
問題:這個情況用去掉https的s搞定了,這是為什麼?是因為http所要求安全的等級更低嗎?這樣做會存在危險嗎?
我就說一句,很多中間人攻擊對https的應對方式是這樣的:
阻斷所有https埠的連接,用戶發現無法正常使用,就會主動放棄https,轉而使用不安全的http。
根據我多年的網管,網紅,網工,網遊的經驗,最有可能的原因是系統時間不準導致TLS握手失敗。Windows有定期自動對時的功能,所以放置一段時間後可以恢復正常。
校園網的話就明白了。
很大幾率是學校的信息審查系統。比如你使用chrome(或者其他的能很方便的查看證書的瀏覽器 ie挺墨跡)打開這個網站,會提示你證書有問題,查看證書,去百度它的ca,肯定是沒有的,或者你會搜到某某某監控系統的信息 因為可能某些公司開發的內網監控系統使用了這個假ca名來簽發證書監控你的HTTPS連接。安全隱患肯定是有的。不過沒辦法,這種審查系統你不允許它監控你的HTTPS連接它是不會允許你上網的。
說「我有什麼隱私能讓別人看啊?我又不是大人物。」的csb請速度滾開,謝謝。
用http就是直接放棄保護。不意味著「沒提示更安全」。
最後,不要覺得這個提示煩人就信任了它的ca。這是因噎廢食。
~~~~~~~~~~~
速度補充:既然你說是打開任何網頁都提示證書問題,我打包票是校園的審查系統。不是就現場表演吃屎(或者退出知乎,滑稽)。~~~~~~~~~~~
對於那些無腦質疑我的人!我跟你講那個是http://net.zju.edu.cn啊大兄弟,浙大上網認證啊…過了認證就好了么
其實情況是,為了遇到https網站也能跳轉認證,所以開了80和443,然後這玩意好像證書配置有點問題,感覺可以給網路中心反應一下了-.-!!
curl一下看看~
$ curl -v -k https://net.zju.edu.cn
* Rebuilt URL to: https://net.zju.edu.cn/
* Trying 10.50.200.245...
* Connected to http://net.zju.edu.cn (10.50.200.245) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 697 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256
* server certificate verification SKIPPED
* server certificate status verification SKIPPED
* common name: *.http://zju.edu.cn (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: C=CN,ST=浙江,L=杭州,O=浙江大學,OU=信息中心,CN=*.http://zju.edu.cn
* start date: Mon, 19 Dec 2016 00:00:00 GMT
* expire date: Thu, 19 Mar 2020 23:59:59 GMT
* issuer: C=US,O=GeoTrust Inc.,CN=GeoTrust SSL CA - G3
* compression: NULL
* ALPN, server did not agree to a protocol
GeoTrust給簽的野卡,反正是沒正常跑起來,仔細看了下好像是證書鏈不完整,上層CA都看不到(難道是配錯了?)
順便吐槽深瀾…
深瀾賣給別的學校,443都不一定開,導致的結果是你打開https頁面根本跳不了上網認證,更坑
那些信息安全論同學,你說這話的時候審計系統已經默默記下了日誌了喲^^
你可以點開證書,看一下日期,很有可能是證書過期了。使用http的時候不會驗證數字證書,自然就不會有那種提示了。不過很奇怪,你們學校的網站竟然沒有做http強制跳轉HTTPS
看看你系統時間對不對。
題主查看一下出問題的證書,是否有什麼貓膩。有可能是學校想監控學生的上網行為,做的中間人攻擊。當然,只是猜測。
推薦閱讀:
※http/2 和 PWA有何關聯?
※https比http更安全嗎?為什麼大多數網站還是使用http?
※為什麼 12306 不買 https 證書?
※客戶端通信如何加密並且防抓包?
※不用 https 自己實現對 http請求的內容的 rsa 加密,這樣足夠安全嗎?