HTTPS防线如何被突破？一文看懂SSL Stripping攻击原理与防御策略

在当今的互联网世界，HTTPS已成为网络通信的“标配”。从社交平台到电子支付，从企业后台到个人邮箱，加密连接几乎无处不在。但一种叫做SSL Stripping（SSL剥离）的攻击方式，可以悄无声息地绕开这道防线，让用户在毫无察觉的情况下，暴露数据。

sslstripping

　什么是SSL Stripping？一次“降级”带来的危机

SSL Stripping，直译为“SSL剥离”，是一种典型的中间人攻击（MitM）。

它的本质是：攻击者在你和目标网站之间插入自己，强行将原本应为HTTPS的加密连接“降级”为HTTP，从而拦截、读取甚至篡改你的通信数据。

简单理解就是：

你以为你在走加密通道，实际上早已被“切换”到了没有保护的普通公路上，所有数据一览无遗。

（尽管“SSL”已经被更新为更安全的TLS协议，但SSL Stripping这个术语沿用至今。）

　攻击是如何发生的？一场看不见的伪装秀

拦截通信、降级协议、冒充目标、欺骗用户——这是SSL Stripping攻击中常用的四步策略。

让我们来看看它的工作原理——

SSL Stripping攻击始于毫无戒心的用户试图访问一个乍一看似乎安全的HTTPS网站。攻击者可以通过将自己置于用户和他们想要访问的网站之间来拦截这些请求。

这通常涉及受感染的路由器，尽管不安全的WiFi网络也可能为SSL Stripping打开方便之门。攻击者可能会使用诸如ARP（地址解析协议）欺骗之类的复杂策略，在本地网络中发送伪造消息。如果此策略成功，用户的设备就会将攻击者的设备视为合法设备。

攻击者的中间人攻击（MiTM）定位也可以通过DNS（域名服务）欺骗实现。DNS欺骗与ARP欺骗有很多相似之处，但DNS欺骗的重点是应用层和DNS系统，而不是ARP的本地网络。这种操作允许攻击者拦截DNS查询并返回错误的IP地址。

一旦攻击者就位，SSL Stripping攻击就会按照可预测的顺序展开：

1.用户尝试连接到安全的HTTPS站点。

2.攻击者拦截初始请求并悄悄地将用户重定向到未加密的HTTP版本。

3.为了避免引起怀疑，攻击者在后台与合法服务器保持HTTPS连接。

4.同时，用户发送的所有数据，包括登录信息、信用卡号或其他个人信息，都以纯文本形式暴露，攻击者可以读取或修改。

由于此类攻击依赖于静默重定向，用户通常会继续浏览而没有意识到任何异常。页面可能看起来完全合法，但实际上他们的个人数据正在被实时拦截。

这种“降级攻击”极具欺骗性，尤其在用户未留意协议标识时，极易中招。

结果就是：你看到的界面“看起来没问题”，但数据已落入攻击者之手。

　SSL Stripping攻击会造成哪些影响

SSL剥离攻击会移除SSL/TLS为Web流量提供的加密保护，使通信变成明文传输。这类攻击可能带来多种对业务造成严重影响的风险，包括：

•凭证窃取：攻击者可通过将用户引导至未加密的网站页面，诱骗其输入用户名和密码，从而窃取账号凭证。

•敏感数据泄露：由于通信未加密，攻击者可以拦截并读取用户与服务器之间传输的所有数据，可能导致客户信息、财务数据等敏感信息外泄。

•钓鱼网站伪装：攻击者可能将用户重定向至伪造的恶意网站，这些网站可能包含网络钓鱼内容或诱导用户下载恶意软件。

•恶意内容注入：攻击者可以在传输过程中篡改网页内容，将恶意代码注入页面，进而实施信息窃取、木马传播等攻击。

　我们该如何防范SSL Stripping攻击

这类攻击看似高深，实则有招可破。技术手段+策略组合拳，企业和用户各有职责：

技术上，我们可以这么做：

1、启用HSTS（HTTP Strict Transport Security）

这是专门为防SSL Stripping设计的协议，简单来说就是：“只允许我用HTTPS访问网站，谁敢降级我就拒绝连接。”

只要浏览器缓存过这个规则，就不会再退回HTTP。

（HSTS专为防止SSL Stripping和中间人攻击而设计，可确保浏览器始终使用HTTPS。这依赖于带有Strict-Transport-Security指令的标头，不仅确保浏览器仅通过安全的HTTPS连接进行连接，而且还限制这些连接的持续时间，以便即使尝试降级，浏览器最终仍会继续强制使用HTTPS。如果HSTS配置正确，浏览器将阻止HTTP回退。）

2、强化服务器配置，拒绝低强度加密

别再用那些过时的加密套件（比如SSLv3或TLS 1.0），服务器要定期更新TLS版本，才能抵御日新月异的攻击手段。

3、使用证书透明度（CT）监控证书：

证书透明度会创建一份公开日志，记录为域名颁发的所有证书，帮助组织快速检测并应对欺诈性或错误颁发的证书。

与证书锁定（certificate pinning）不同，CT提供可见性和可追溯性，且不会带来运营风险。监控CT日志可帮助组织快速识别未经授权的SSL证书，并在其被利用之前做出响应。

策略上，企业还可以这样做：

1、充分利用自动化解决方案：

证书配置错误、更新遗忘或过期未处理，往往成为中间人攻击（MiTM）的可乘之机。通过引入如国内CA厂商TrustAsia CertManager等自动化证书管理平台，可实现证书申请、部署、续期与吊销的全生命周期管理，减轻了IT专业人员的负担，显著降低人为操作风险，提升系统安全性与运维效率。

2、紧跟SSL/TLS协议的最新发展：

TLS协议会不断推出新版本，以确保加密标准保持强大，并防止攻击者利用已知漏洞。企业应充分利用这些更新的协议，定期审查最新的密码学建议。务必使用受信任的证书颁发机构（CA），因为它们不仅能有效防范中间人攻击（MiTM），还能帮助避免常见的配置错误。

3、定期做安全审计，不留死角：

随着攻击者不断开发更复杂、更难以防范的访问用户机密信息的策略，目前看似有效的策略可能已不再有效。因此，需要频繁进行评估，以便发现现有的漏洞，最好是在漏洞被利用之前就发现。