千万记得,不要轻易点击添加安全例外
Posted: 2025-04-10T03:13:11+00:00
在浏览网页,或者使用电子邮件客户端时,时常会跳出一个对话窗,告诉你数字证书不符,问你是否要添加安全例外。
遇到这种情况时,我建议大家千万千万不要点击那个 “添加安全例外” 的按钮。除非你十分清楚这背后的原因。
现在网络安全的基础一步就是由数字证书组成的,它被用来校验你与别人(或者服务器)的通信是否被更改或者劫持。原理是一个人或者服务器所发给你的信息会用他自己的私钥进行一步签名,并且用与你的浏览器或者邮件客户湍协商过的密钥进行加密,而你的浏览器或者邮件客户端在收到信息时会自己进行解密并且对信息的签名进行验证,如果验证过了的话就可以认为信息是真实的从我们认为的那个人或者服务器发出来的,并且没有被篡改过。
当然,既然要验证,那么就需要提前知道消息的发送人的公钥(就是那伙计提前公布的说“我会用这个来加密消息,大家可以用这个来验证是不是我哈”),所幸的是现在的浏览器或者邮件客户端里者集成了大量的这种证书公钥,足以让我们应对绝大多数的通信需求。但是如果还是需要与某个没有被包含在这个系统中的人通信的话怎么办呢?别着急,看完这篇文章之后,你就会知道该怎么安全的操作了。(注一)
上面说到,验证通过之后,才会被认为是我们认为的那个人或者服务器发给我们的信息,那么很显然的是,突然跳出的提示窗就是浏览器在告诉我们,“嘿,我觉得这个消息很可疑,它没有通过验证,很可能是伪造的消息,但是我会把判断权交给你,由你来做出决定”。这往往就是浏览器在提示我们这个消息不可靠。但是,为什么它不直接拒绝而是提示我们呢?这就是与 (注一) 遇到的情况有关了,浏览器留给我了们与之相对应的处理权限,如果不留这个口子,我们操作起来就会繁琐一些了。
让我们深入想一步,浏览器给我们提示的背后是什么呢?答案其实就在表面,要么是我们正在与一个没有被包含在安全证书体系中的人或者服务器进行通信,这就是 (注一) 所讲的情况;要么就是有人在消息的传递过程中给消息进行了更改,或者就干脆是有人在冒充那个人在与你通信,在中网络安全中被称为“中间人攻击”。没错,它是一种网络攻击,而你正在遭遇它。为什么会有这种情况呢?因为现在的网络通信肯定不是从一根网线的一头到另一头这种简单的连接方式,中间经过了一级又一级的集线器、路由器、运营商...等等,而这些中间结点之中如果哪怕有一个坏人,它们想知道你在通信的内容是什么,或者它想发起一个诈骗的话,就会冒充他人来骗取你的信任,而他们冒充的结果就是你在浏览器上看到的那个突然跳出来的对话窗。
正常状态下,是别人或者服务器会把消息发送出来,正常的这些中间结点会原样的把消息发送给你,而那些想在中间使坏的中间结点就会截留那些消息,而且它自己在伪造一份发给你,当然消息的内容肯定就会变了,比如别人发给你的是一条告白消息"我喜欢你很久了,想与你一起生活",而伪造的消息由于解密不开消息的内容,所以伪造时也只能胡乱的编造,有可以消息内容就成了"太平洋上正在下大雨",而且它也无法用原始消息的私钥进行签名,所以这就会引起浏览器的报警,即而跳出那个窗口。
当然这是一种比较初级的中间人攻击,还有一种方法在特定条件下,它能知道你俩的“情书”内容,即而破坏你俩的恋情发展。以后再分享给大家。
说回 (注一) 的情况,如果一个人没有在浏览器内置的安全架构之中,而你确实知道他是他,这时其实也很简单,用安全的方式相互交换彼此的公钥就可以了,然后再添加进浏览器的安全例外之中。为什么这时就可以添加进安全例外了呢?原因是就如此文章的第二段中所说的,因为此时我们知道了这次添加安全例外的原因。
网络安全无小事,请大家万分谨慎。
遇到这种情况时,我建议大家千万千万不要点击那个 “添加安全例外” 的按钮。除非你十分清楚这背后的原因。
现在网络安全的基础一步就是由数字证书组成的,它被用来校验你与别人(或者服务器)的通信是否被更改或者劫持。原理是一个人或者服务器所发给你的信息会用他自己的私钥进行一步签名,并且用与你的浏览器或者邮件客户湍协商过的密钥进行加密,而你的浏览器或者邮件客户端在收到信息时会自己进行解密并且对信息的签名进行验证,如果验证过了的话就可以认为信息是真实的从我们认为的那个人或者服务器发出来的,并且没有被篡改过。
当然,既然要验证,那么就需要提前知道消息的发送人的公钥(就是那伙计提前公布的说“我会用这个来加密消息,大家可以用这个来验证是不是我哈”),所幸的是现在的浏览器或者邮件客户端里者集成了大量的这种证书公钥,足以让我们应对绝大多数的通信需求。但是如果还是需要与某个没有被包含在这个系统中的人通信的话怎么办呢?别着急,看完这篇文章之后,你就会知道该怎么安全的操作了。(注一)
上面说到,验证通过之后,才会被认为是我们认为的那个人或者服务器发给我们的信息,那么很显然的是,突然跳出的提示窗就是浏览器在告诉我们,“嘿,我觉得这个消息很可疑,它没有通过验证,很可能是伪造的消息,但是我会把判断权交给你,由你来做出决定”。这往往就是浏览器在提示我们这个消息不可靠。但是,为什么它不直接拒绝而是提示我们呢?这就是与 (注一) 遇到的情况有关了,浏览器留给我了们与之相对应的处理权限,如果不留这个口子,我们操作起来就会繁琐一些了。
让我们深入想一步,浏览器给我们提示的背后是什么呢?答案其实就在表面,要么是我们正在与一个没有被包含在安全证书体系中的人或者服务器进行通信,这就是 (注一) 所讲的情况;要么就是有人在消息的传递过程中给消息进行了更改,或者就干脆是有人在冒充那个人在与你通信,在中网络安全中被称为“中间人攻击”。没错,它是一种网络攻击,而你正在遭遇它。为什么会有这种情况呢?因为现在的网络通信肯定不是从一根网线的一头到另一头这种简单的连接方式,中间经过了一级又一级的集线器、路由器、运营商...等等,而这些中间结点之中如果哪怕有一个坏人,它们想知道你在通信的内容是什么,或者它想发起一个诈骗的话,就会冒充他人来骗取你的信任,而他们冒充的结果就是你在浏览器上看到的那个突然跳出来的对话窗。
正常状态下,是别人或者服务器会把消息发送出来,正常的这些中间结点会原样的把消息发送给你,而那些想在中间使坏的中间结点就会截留那些消息,而且它自己在伪造一份发给你,当然消息的内容肯定就会变了,比如别人发给你的是一条告白消息"我喜欢你很久了,想与你一起生活",而伪造的消息由于解密不开消息的内容,所以伪造时也只能胡乱的编造,有可以消息内容就成了"太平洋上正在下大雨",而且它也无法用原始消息的私钥进行签名,所以这就会引起浏览器的报警,即而跳出那个窗口。
当然这是一种比较初级的中间人攻击,还有一种方法在特定条件下,它能知道你俩的“情书”内容,即而破坏你俩的恋情发展。以后再分享给大家。
说回 (注一) 的情况,如果一个人没有在浏览器内置的安全架构之中,而你确实知道他是他,这时其实也很简单,用安全的方式相互交换彼此的公钥就可以了,然后再添加进浏览器的安全例外之中。为什么这时就可以添加进安全例外了呢?原因是就如此文章的第二段中所说的,因为此时我们知道了这次添加安全例外的原因。
网络安全无小事,请大家万分谨慎。