moneyslow.com

如何使用HTTPS防止流量劫持

何为流量劫持

前不久小米等六家互联网公司发表联合声明,呼吁运营商打击流量劫持。流量劫持最直观的表现,就是网页上被插入了一些乱七八糟的广告/弹窗之类的内容。比如这样:


网页右下角被插入了游戏的广告。

流量劫持总体来说属于中间人攻击(Man-in-the-Middle AttackMITM)的一种,本质上攻击者在通信两端之间对通信内容进行嗅探和篡改,以达到插入数据和获取关键信息的目的。目前互联网上发生的流量劫持基本是两种手段来实现的:

  1. 直接在 Web 服务器上部署证书和私钥,相关 apache nginx 都有大量的文档说明,在此就不赘述了。
  2. 在服务器集群的接入层/反向代理处部署证书和私钥,例如阿里云的 CDN, SLB 和高防 IP 等产品均提供 HTTPS 支持,可以直接上传证书和私钥就可以实现网站的 HTTPS 改造。

    阿里云的 HTTPS 支持

    阿里巴巴在 2015 年的双 11 期间,成功的使用了全站范围(包括淘宝、天猫等核心电商域名)的 HTTPS 为广大买家提供安全的购物体验,这种体量的 HTTPS 服务在业界也极为少见。阿里云在进行电商业务的 HTTPS 改造时,在密码学、SSL/TLS 协议以及 PKI 体系等领域进行了一系列的优化和创新,并在此过程中积累了大量宝贵的经验。

    阿里云做为底层基础设施的提供者,在阿里全站 HTTPS 化的过程中提供了大量的技术支撑,阿里云的 CDN SLB 等产品在 HTTPS 的加速以及卸载等环节发挥了重要的作用。因此希望能将在淘宝/天猫业务上积累的 HTTPS 领域的经验和成果,借助阿里云的平台,让更多人来使用,籍此希望跟多的互联网流量能够 HTTPS 化,让流量劫持再无可能。

    交付内容如同江湖走镖,流量劫持形同拦路劫镖,最后借用阿里开源项目 Tengine 发起人叔度的强图来结束本文,那就是:


Exit mobile version