帮助文档
通知公告
常见问题
安装教程
来自客户的疑问
【重要通知】2026年 SSL 证书有效期调整,请关注!
公告
2026年01月27日
观看次数:253
TopSSL平台已购SSL服务发票开具流程指引参考。
公告
2025年12月11日
观看次数:343
在 TopSSL申请SSL证书如何申请线下合同?
公告
2026年01月28日
观看次数:73

流量劫持

更新时间:2026-01-28 来源:TopSSL AI 助理 作者:TopSSL AI 助理

流量劫持

流量劫持是指攻击者在用户与目标服务器之间非法插入或篡改网络通信路径,使原本应直接传输的数据被重定向、监听、修改或伪造。在 HTTPS 场景下,典型形式包括中间人攻击(MITM),例如通过伪造证书、利用系统/浏览器信任的恶意根证书、或强制降级至 HTTP(SSL Stripping)实现劫持。

现代浏览器对 HTTPS 连接实施严格校验:若服务器提供的 ssl证书 不可信(如自签名、过期、域名不匹配、签发 CA 不在信任列表中),会明确阻断连接并显示严重警告(如 Chrome 的 NET::ERR_CERT_AUTHORITY_INVALID)。因此,完整部署且配置正确的 HTTPS 可有效防御绝大多数主动劫持行为。

但需注意:若终端设备已预装或被植入不受控的根证书(如企业代理软件、恶意软件、部分国产安全软件或某些公共 Wi-Fi 网关),则攻击者可动态签发合法域内证书,绕过浏览器警告——此类劫持在技术上仍属“证书链可信”,但违背用户知情权与通信保密性。

需要注意的情况

  • 企业内网常使用 SSL 解密代理(如 Zscaler、Blue Coat),依赖员工设备手动信任其私有根证书,属于可控的合规劫持,但需明确告知并获得授权。
  • 部分安卓 App 未正确校验证书链(忽略 hostname verify 或信任所有证书),易受劫持影响;iOS 因系统级 ATS 限制,风险相对较低。
  • 使用 免费ssl证书(如 Let's Encrypt)本身不增加劫持风险,关键在于私钥保护与证书部署完整性;私钥泄露或 Nginx/Apache 配置错误(如未禁用 SSLv3/TLS 1.0)可能削弱防护能力。
  • 国密算法环境(如 SM2 证书)需客户端支持 GM/T 0024-2014 协议栈,否则可能因协商失败退化为非国密通道,间接扩大攻击面。
上一篇:tls 下一篇:证书安装
工具
立即探索,帮您快速寻找适合您的SSL数字证书 申请SSL证书
免费SSL证书 | 快速实现HTTPS加密与付费证书申请 - TopSSL
提供免费与付费SSL证书申请
微信公众号二维码 扫一扫在线咨询
关注 TopSSL 公众号, RSS订阅 SSL资讯与技术支持

2004-2026 © 北京传诚信  版权所有 | TopSSL提供免费SSL证书与付费证书,快速实现HTTPS加密  北京市朝阳区鹏景阁大厦16层

京公网安备11010502031690号 京公网安备11010502031690号 | 京ICP备05019839号-13 网站经营企业工商营业执照 网站经营企业工商营业执照
技术协助:wo@topssl.cn 企业咨询:vip@topssl.cn