如果我使用 DSL 线路连接,那么使用 SSL 有什么好处呢(对于“小型”活动(如银行业务,以排除间谍活动、绝密商业计划))?我认为大多数人不会真的窃听家庭用户的线路。
一旦数据到达 ISP(AT&T),就不会再有任何危险了(AT&T 无法从我的银行窃取太多数据,但他们可能会因使用通过其服务器的数据而被起诉)。
互联网主干网应该出于同样的原因而安全——没有公司会想通过窃取我的信用卡号来违法(是的,我知道公司并不总是值得信任的。然而,我只是转账银行/信用卡号。他们可以窃取的金额将是无可比拟地小于我可以起诉他们偷窃的金额)。
服务器也一样。它(可能)通过由一家大型可起诉公司管理的 T1 线路连接。一旦到达 Web 服务器,SSL 就不再保护数据(防止破解者等)。
那么,与以前的普通 ISP 都是可以骗取银行对账单然后逃跑的小型拨号公司相比,SSL 连接比非安全连接安全多少?
答案1
我认为大多数人不会真的去窃听家庭用户的电话线。
这不是唯一的可能性,请考虑以下可能性:
您的家庭用户线路是针对个人的,不太可能。
ISP 和你的银行之间的线路被攻击,更倾向于。
第二种可能性使得没有安全连接变得可怕,因为如果有人访问该线路(以某种方式嗅探它),那么他们就可以访问大量不安全的数据。如果您的数据是机密的,最好以安全的方式发送。
互联网主干网应该出于同样的原因保持安全
这些假设危险的,请考虑以下可能性:
有人有直接连接,并且可以嗅探同一集线器上的其他连接。
一名员工决定窃取个人数据,但没有人注意到他这么做。
有人接触到电缆和/或网络设备并对其进行破坏。
有人成功入侵互联网主干网。
而且这个列表并不完整,很可能还有更多可能性。
他们偷窃的金额与我可以起诉他们偷窃的金额相比要少得多。
你要告谁?你有什么证据?没错,可能就此消失得无影无踪了。
SSL 连接与非安全连接相比安全多少?
服务器向用户提供证书,用户可以与已知的证书颁发机构进行核对。如果证书匹配,他们可以进行加密,这样就没有人可以嗅探或篡改数据,任何尝试都会中断连接。
但请注意,SSL 只有在证书颁发机构没有受到损害的情况下才是安全的。因此,SSL 的主要目标是嗅探不再是一步到位,而是您首先需要访问证书颁发机构,然后访问加密的网络流量,然后必须解密 SSL 才能最终获得所需的数据。在这里,您被抓住的几率加倍了……
答案2
需要考虑的一件事是 SSL 不仅仅是加密数据流。它验证远程站点的身份并确保其与域匹配。例如,许多家用路由器都存在 DNS 欺骗漏洞,因此访问您的银行网站实际上可能会将您发送到另一个网站。所有这些都是采用散弹枪式攻击方法,因此它不是专门针对您,而是攻击数百万台路由器,希望获得数百名受害者。
就加密而言,wifi 是一个非常常见的漏洞。有人可能会在咖啡店闲逛,然后凭空猜出密码。由于人们倾向于在所有网站上使用相同的密码,因此获得像 Facebook 密码这样风险最小的东西可能会打开你的银行账户。这就是 Facebook 和其他公司被迫改用 SSL 的原因。
路径中还可能存在您不知道的代理服务器。如果该代理服务器受到攻击,而您发送的是明文,他们就可以从中获取密码。当黑客被发现时,他们可能不会通知甚至不知道经过它的所有源和目的地。如果您使用 SSL,通过代理的数据将毫无用处。
答案3
在企业环境中要小心 SSL。许多公司制造所谓的“SSL 拦截器”,这些拦截器可以有效地执行中间人(MITM)攻击您的 SSL 连接,这样公司就可以监控正在传输的内容,而您的浏览器和外部 Web 服务器都认为它们彼此之间有安全的 SSL 连接。Bluecoat 的代理SG产品包括可执行此操作的数据丢失防护 (DLP) 功能。
这在公司环境中是可行的,因为公司通常拥有您计算机的管理权限,这允许他们在您不知情的情况下将新的 CA 证书安装到您的浏览器中。新的 CA 证书会告诉您的浏览器信任公司的 SSL 拦截器,这样它就可以解密您的所有 SSL 流量(然后在发往外部服务器的出站段上重新加密)。
您可以使用openssl从公司外部转储外部 Web 服务器的 SSL 证书,并将其与公司内部看到的证书进行比较(如本文所述博客文章)。如果不匹配,则您的公司可能正在运行 SSL 拦截器。