还有人说站上了SSL会被劫持，来科普一波

辣鸡 · 发表于 2017-10-6 15:00:06

SSL就目前来说针对运营商的劫持是绝对最有效的，但总有人说自己的站上了SSL还会被劫持，就怪SSL这个协议不行。实际上不是的。

你打开你的站如果是直接用https头访问的话，还能有劫持那就说明只能是你的站被人黑了，或者是你的本地电脑有问题。

1、你的站有洞被人日了，你的服务器被人日了。

2、你的本地电脑有软件劫持了你的证书，举个例子：卡巴斯基的https扫描功能就是给你的电脑装个中间人证书。再比如ADsafe的https广告过滤功能。

如果你打开你的站是直接用http打开然后301跳转到https的话，那么运营商是可以劫持的，但这个劫持与SSL没有任何关系，因为你是在http协议下就已经被劫持了。

1、301跳转到https，301的整个过程就是http协议的，运营商可以直接在你301的时候就进行劫持，一般都是把你301后的网页内容全部展现在另外一个页面上，然后运营商在这个根本不是你的网站页面上插入广告等等内容，导致给你造成一个https也被劫持的假象。

所以就目前来说，SSL防劫持是绝对安全有效的，当然谁也不能保证未来会不会有黑科技出来也能劫持SSL。。。活在当下，玩小鸡的安心玩小鸡，做站的安心做站吧。。。

总是吵架的猪 · 发表于 2017-10-6 15:11:21

小站没人劫持的
gmail 还有其他网站就被cnnic颁发过证书
当然不是他们自己申请的
这样被劫持了你也看不出来

nickyutse · 发表于 2017-10-6 15:38:24

要能防cc就好

houset · 发表于 2017-10-6 15:55:05

支持一下技术大佬.....

Tran · 发表于 2017-10-6 16:53:33

所以要启用HSTS，或者把自己的域名申请加入浏览器HSTS列表

di2018 · 发表于 2017-10-6 16:54:19

301还是会被劫持。

googlebot2 · 发表于 2017-10-6 17:04:22

https当然能劫持，当年linode被黑，就是linode的域名的dns被黑，linode所有数据被黑，幸好cia有卧底

mrcn · 发表于 2017-10-6 17:14:26

HTTPS开了HSTS Preload就不存在劫持了。否则把跳转劫持了还是GG