网络安全 --- ssl剥离

想象一下：

1. 你想寄一封重要的秘密信件（比如你的银行密码）：

   • 最安全的方式（HTTPS）： 你把信锁进一个只有你和银行有钥匙的保险箱里（加密），然后交给快递员（网络）。

   • 不安全的方式（HTTP）： 你把信直接写在明信片上，谁都能看（明文）。

2. 坏快递员（攻击者）的诡计 - SSL剥离：

   • 你想用保险箱寄信（访问 https://yourbank.com）。

   • 坏快递员在半路上拦住了你，说：“嘿，银行搬家了，新地址是 http://yourbank.com（注意是 http 不是 https），你把信给我吧，我会帮你转交给银行。”

   • 你不知道这是骗局，就把写有密码的明信片（未加密的 HTTP 请求）交给了坏快递员。

   • 坏快递员拿到你的密码（窃取信息），然后自己装模作样地弄了个保险箱（建立 HTTPS 连接）寄给银行。

   • 银行收到保险箱，以为是你寄的（它不知道中间被调包了），回复也通过保险箱发给坏快递员。

   • 坏快递员打开银行的回信（他有伪造的钥匙），看完后可能篡改内容，再写张明信片（未加密 HTTP）回复给你。

   • 结果： 你以为自己在和银行安全通信（因为银行回复了），但其实你和银行之间所有的秘密，坏快递员都看得一清二楚，还能随便改！

关键点：

• 攻击目标： 让你从本该安全的 HTTPS 连接，降级到不安全的 HTTP 连接。

• 如何得逞： 攻击者利用了你第一次访问网站或者浏览器没有记住安全规则的机会。它在中间阻止你建立安全连接，骗你用不安全的方式发送信息。

• 为什么危险： 你的密码、信用卡号、聊天内容等所有敏感信息，攻击者都能看到和修改，而你和真正的网站都很难察觉。

怎么防御？ HSTS（强制 HTTPS）

想象一下，为了防止坏快递员的诡计：

1. 银行给你发了个特别的印章（HSTS 响应头）： 你第一次去银行（通过安全方式），银行在你的记录本（浏览器）上盖了个章，写着：“以后凡是寄给本银行的东西，必须用保险箱（HTTPS）！有效期1年。”

2. 坏快递员再骗你： 下次坏快递员又说“银行新地址是 http://...”。

3. 你的记录本（浏览器）起作用了： 你一看记录本上的印章：“不行！银行说过必须用保险箱！”。你直接拒绝用明信片寄信，要么自动改用保险箱寄到正确的 https 地址，要么就告诉你连接不安全。

4. 坏快递员没辙了： 它无法再骗你用明信片发送密码了，因为它连降级的机会都没有。

总结：

• SSL 剥离： 坏人在中间骗你用不加密的 HTTP 发送本该加密的信息，窃取和篡改你的秘密。

• 防御（HSTS）： 网站告诉你的浏览器：“记住！以后只准用安全的 HTTPS 跟我联系，不准降级！” 这样即使坏人想骗你降级，你的浏览器也会直接拒绝或者强制升级到 HTTPS。

网站管理员要做的（就是代码示例里的）：

1. 强制所有流量走 HTTPS： 如果有人不小心或故意用 http:// 访问，立刻自动跳转到 https://（配置里的 301 重定向）。

2. 设置 HSTS 响应头： 在 HTTPS 的响应里加上 Strict-Transport-Security: max-age=31536000，告诉浏览器未来一年内，对这个网站的所有访问都必须用 HTTPS。

3. 使用强加密协议： 比如只允许最安全的 TLS 1.3（配置里的 ssl_protocols TLSv1.3; 或 SSLProtocol +TLSv1.3）。

 

代码示例

Nginx

如果你使用 Nginx 作为你的 Web 服务器，添加 HSTS 到你的响应的安全的配置看起来像这样：

server {
  listen 80;
  server_name example.com;

  # Redirect HTTP traffic to HTTPS
  return 301 https://$server_name$request_uri; 
}
  
server {
  listen 443 ssl; server_name example.com;

  # Uses the following certificate to encrypt traffic, 
  # and the paired private key to decrypt it.
  ssl_certificate /path/to/ssl/certificate.crt;  
  ssl_certificate_key /path/to/ssl/private.key;

  # Enable HSTS with a max-age of 1 year (31536000 seconds).
  add_header Strict-Transport-Security "max-age=31536000";

  # Ensures the use of a minimally strong version of TLS 
  ssl_protocols TLSv1.3; 
}

Apache

如果你使用 Apache 作为你的 Web 服务器，安全的配置将像这样：

# Redirect HTTP to HTTPS
<VirtualHost *:80>
    ServerName example.com
    
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

# Load SSL module
LoadModule ssl_module modules/mod_ssl.so

# SSL/TLS Configuration
<VirtualHost _default_:443>
    ServerName example.com

    # Enable HSTS with a max-age of 1 year (31536000 seconds).
    Header always set Strict-Transport-Security "max-age=31536000"

    # SSL Engine Setup
    SSLEngine on

    # Uses the following certificate to encrypt traffic, 
    # and the paired private key to decrypt it.
    SSLCertificateFile /path/to/your/certificate.crt
    SSLCertificateKeyFile /path/to/your/private-key.key
    
    # Minimal SSL Protocol Settings
    SSLProtocol +TLSv1.3

    # Other SSL/TLS Configuration (optional)
    # SSLCipherSuite, SSLHonorCipherOrder, SSLCompression, etc.

    # Logging
    ErrorLog "/var/log/httpd/error_log"
    TransferLog "/var/log/httpd/access_log"
</VirtualHost>