世界最大色情网站 Pornhub 用 HTTPS 数据加密，它如何让你更安全地看片？ | 深度

4.网站接收浏览器发来的数据后，开始了疯狂解密的过程。

• 首先，它使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证哈希是否与浏览器发来的一致。
• 然后，使用密码加密一段握手消息，发送给浏览器。

5.浏览器解密并计算握手消息的哈希，如果与服务端发来的哈希一致，此时握手结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。

这是互相试探的前奏，只有认证成功，他们才真正开始传输。

接受好友申请，他们即将开展友好往来……

就当羞羞网站张开怀抱拥抱HTTPS ，你以为万事大吉，可以放心嘿嘿嘿时，还有一些小插曲可能会让你心生疑虑。

（并不是这个问题）

外媒 wordfence 曾有一篇文章指出：在许多假冒知名公司的钓鱼网站中，如假冒 Google、微软、苹果等，所使用的 SSL 证书来自多个认证机构（CA）的颁发。Chrome 浏览器只对 SSL 证书的有效性进行判断，如果有效则直接将网站显示为“安全”。

即使网站证书已被 CA 认证机构撤销，Chrome 浏览器仍将站点标识为“安全”。已撤销”状态仅在 Chrome 开发人员工具中可见。而已发布有效 SSL 证书的恶意网站，需要一段时间后才会被拉入Chrome 的恶意网站列表中。

这是CA 证书失效延迟可能造成的后果。

知乎计算机问题优秀答主“车小胖”认为：HTTPS 并不是 100% 绝对可靠。

“斯诺登暴露出，针对IPsec，TLS的密钥交换所依赖的Diffie-Hellman算法攻击，即通过离线的超级计算机预先计算出海量的公钥、私钥对，一旦尝试出私钥就会得到Master Key，进而推导出session key，这样历史数据、现在、将来的数据全可以解密。

以上是被动攻击方式，针对数字证书欺骗则属于主动攻击，可以实时地解密用户数据。但种种主、被动攻击难度都很高，往往是以国家意志为源动力，而不是一些小团体所能完成的。”

小编编辑还检索到，在一则《“净广大师”病毒 HTTPS 劫持技术深度分析》的文章中，还有病毒”劫持”SSL 证书的案例。

该病毒是通过代理的方式，以中间人攻击的形式来劫持 HTTPS 流量。当浏览器访问某度时，病毒驱动会将连向某度(61.135.169.125) 443端口 (HTTPS) 的链接重定向到本地的 10100 监听端口，explorer 中的病毒代码再代替浏览器发起与远端Web服务器的链接进行通讯。该病毒同时通过自己携带的证书分别与浏览器和远端 Web 服务器完成 SSL 握手，进而以中间人攻击的形式完全控制 HTTPS 链路通信。

如果你还注意到这句话——“HTTPS 协议需要到 CA申请证书，一般免费证书很少，需要交费”，就会发现“HTTPS ，不是你想用就能用”。因此，一些免费发送证书的机构应运而生。

免费的午餐被利用时，用户吃到的可能是苍蝇。

比如，非营利网络认证发放机构 Let'sEncrypt 推出了开源免费的HTTPS认证服务。不过，据中关村在线报道，近期有专家发现，Let'sEncrypt 发放的认证证书有被滥用的趋势。该报道还指出“迄今已发行15270个内含 PayPal 字样的证书，当中约有 96.7 %被用于钓鱼网站，这表示约有 14766 个钓鱼网站已经拥有与 PayPal 相关的证书”。

最后，照顾到部分看上去“什么技术也不懂”的Pornhub 等类似网站用户的需求，小编编辑向一位资深互联网从业人士请教了实操建议：

• 在不考虑 CA 证书失效的基础上，直接在地址栏里面输入的HTTPS 是安全的，跳转的HTTPS不一定安全。也就是说，访问一个HTTP的链接，网站跳转到HTTPS还是可能被劫持，所以访问时最好确认第一次打开的地址栏里就带HTTPS 。
• HTTPS安全也是假定你的电脑没有被入侵，是干净的。如果你电脑已经被控制了，那就没什么安全可言了。
• 跳转HTTPS的场景大量存在，不是资深用户的话不要轻易相信公共场所无线AP的安全性，即使用HTTPS。

，。

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!