HTTPS配置举例关键词：HTTPS、SSL、PKI、CA、RA摘&&& 要：HTTPS是支持SSL的HTTP协议。用户可以通过HTTPS协议安全地登录设备，通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。缩略语：CACertificate Authority证书机构HTTPSHypertext Transfer Protocol Secure安全超文本传输协议IISInternet Information ServiceInternet信息服务MACMessage Authentication Code消息验证码PKIPublic Key Infrastructure公钥基础设施RARegistration Authority注册机构SCEPSimple Certificate Enrollment Protocol简单证书注册协议SSLSecure Sockets Layer安全套接层&&对于支持Web网管功能的设备，开启HTTP服务后，设备可以作为Web服务器，允许用户通过HTTP协议登录，并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证，也不能保证数据传输的私密性，无法提供安全性保证。为此，设备提供了HTTPS功能，将HTTP和SSL结合，通过SSL对客户端身份和服务器进行验证，对传输的数据进行加密，从而实现了对设备的安全管理。HTTPS通过SSL协议，从以下几方面提高了安全性：l客户端通过数字证书对服务器进行身份验证，保证客户端访问正确的服务器；l服务器通过数字证书对客户端进行身份验证，保证合法客户端可以安全地访问设备，禁止非法的客户端访问设备；l客户端与设备之间交互的数据需要经过加密，保证了数据传输的安全性和完整性，从而实现了对设备的安全管理；l制定基于证书属性的访问控制策略，对客户端的访问权限进行控制，进一步避免了客户端对设备进行攻击。2& 应用场合HTTPS主要用于网络管理员远程配置设备。如图1 所示，某公司在A、B两地分别设立分公司，位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理，网络管理员通过HTTPS登录Device B，利用Web页面配置远程设备Device B。典型应用场景3& 配置举例公司A的网络管理员与该公司的研发部位于不同的城市，网络管理员希望安全地远程登录到研发部的网关设备，实现对其的控制。如图2 所示，HTTPS可以满足这个需求：l网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接，通过Web页面实现对Gateway的控制。l利用SSL的安全机制对HTTPS服务器Gateway和HTTPS客户端Admin进行身份验证，提高了远程登录的安全性。l为了实现基于证书的身份验证，公司A还需要配置CA服务器，为Gateway和Admin颁发证书。本配置举例以Windows Server 2003为例，说明CA服务器的配置方法。典型配置举例组网图为了实现上述组网需求，需要完成表1 中的操作。配置CA服务器3.2.1& 3.3.1& 配置HTTPS服务器3.2.2& 3.3.2& 配置HTTPS客户端3.2.3& 3.3.3& &服务器配置思路Windows Server 2003作为CA服务器时，配置过程为：(1)安装证书服务组件，并设置CA服务器的类型、名称等参数。(2)安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。Windows Server作为CA服务器时，缺省情况下不支持SCEP，所以需要安装SCEP插件，才能使CA服务器具备自动处理证书注册和颁发等功能。(3)将证书服务的颁发策略修改为自动颁发证书。否则，收到证书申请后，管理员需要确认申请，并手工颁发证书。(4)修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径；为了避免与已有的服务冲突，建议修改默认网站的TCP端口号。Windows Server作为CA服务器时，需要在CA服务器上安装并启用IIS。&服务器配置思路HTTPS服务器的配置过程为：(1)配置PKI。PKI是通过公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的身份验证。配置HTTPS服务器之前，首先要完成PKI的配置，其中包括：l配置PKI实体。实体的身份信息用来唯一标识证书申请者。l配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。创建PKI域的目的是便于其它应用引用PKI的配置。l获取CA证书，并下载至本地，以便验证申请到证书的真实性和合法性。l申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。(2)配置SSL服务器端策略。通过该策略可以指定引用的PKI域，SSL服务器端策略支持的加密套件，以及是否需要对客户端进行身份验证等。本配置中，需要对客户端进行身份验证。(3)配置HTTPS使用的SSL服务器端策略，并使能HTTPS服务。(4)创建本地用户，通过用户名和密码实现对用户身份的验证。客户端配置思路HTTPS客户端上需要执行如下操作：(1)申请证书。由于HTTPS服务器上配置需要对客户端进行认证，因此，HTTPS客户端需要从CA服务器获取证书。(2)通过HTTPS协议登录Gateway，并输入用户名和密码，进入Gateway的Web配置页面。3.3& 配置步骤进行下面的配置之前，需要确保HTTPS服务器Gateway、HTTPS客户端Admin和CA服务器之间的路由可达。&服务器1. 安装证书服务组件(1)打开[控制面板]/[添加或删除程序]，选择[添加/删除Windows组件]。在[Windows组件向导]中，选中“证书服务”，并单击&下一步&按钮。(2)选择CA类型为独立根CA，并单击&下一步&按钮。(3)输入CA的名称为CA server，并单击&下一步&按钮。(4)选择CA证书数据库、数据库日志和共享文件夹的存储位置，并单击&下一步&按钮。安装证书时，界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径，其中共享文件夹存放路径中的“ca”为CA服务器的主机名。&(5)证书组件安装成功后，单击&完成&按钮，退出[Windows组件向导]窗口。2. 安装SCEP插件(1)双击运行SCEP的安装文件，在弹出的窗口中，单击&下一步&按钮。SCEP的安装文件可以从Microsoft网站免费下载。&图7 &安装SCEP插件1(2)选择使用本地系统帐户作为标识，并单击&下一步&按钮。图8 &安装SCEP插件2(3)去掉“Require SCEP Challenge Phrase to Enroll”选项，单击&下一步&按钮。图9 &安装SCEP插件3(4)输入RA向CA服务器登记时使用的RA标识信息，单击&下一步&按钮。RA的功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA的延伸，可以作为CA的一部分。图10 &安装SCEP插件4(5)完成上述配置后，单击&完成&按钮，弹出如图11 所示的提示框。记录该URL地址，并单击&确定&按钮。插件5配置HTTPS服务器Gateway时，需要将注册服务器地址配置为提示框中的URL地址，其中的主机名ca可以替换为CA服务器的IP地址。&3. 修改证书服务的属性完成上述配置后，打开[控制面板/管理工具]中的[证书颁发机构]，如果安装成功，在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。(1)右键单击[CA server]，选择[属性]。图12 &修改证书服务的属性(2)在[CA server 属性]窗口选择“策略模块”页签，单击&属性&按钮。图13 &证书服务属性窗口(3)选择策略模块的属性为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书(F)。”。单击&确定&按钮。图14 &策略模块的属性(4)单击图15 中的停止服务和图16 中的启动服务按钮，重启证书服务。服务的属性(1)打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器]，右键单击[默认网站]，选择[属性]。图17 &IIS管理器(2)选择[默认网站 属性]窗口中的“主目录”页签，将本地路径修改为证书服务保存的路径。图18 &修改默认网站的主目录(3)选择[默认网站 属性]窗口中的“网站”页签，将TCP端口改为8080。为了避免与已有的服务冲突，默认网站的TCP端口号不能与已有服务的端口号相同，且建议不要使用默认端口号80。&图19 &修改默认网站的TCP端口号3.3.2& 配置HTTPS服务器1. 配置步骤(1)配置Gateway向CA服务器申请证书l配置实体命名空间# 配置PKI实体，实体名称为aaa，通用名为gateway。&Gateway& system-view[Gateway] pki entity aaa[Gateway-pki-entity-aaa] common-name gateway[Gateway-pki-entity-aaa] quitl配置PKI域# 创建并进入PKI域ssl。[Gateway] pki domain ssl# 配置可信任的CA服务器名称为myca。[Gateway-pki-domain-ssl] ca identifier ca server# 配置注册服务器的URL地址为安装SCEP插件时弹出的URL地址，如图11 所示。由于CA服务器上默认网站的TCP端口号修改为8080，配置注册服务器的URL地址时，需要指定端口号为8080。[Gateway-pki-domain-ssl] certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll# 配置证书申请的注册受理机构为RA。[Gateway-pki-domain-ssl] certificate request from ra# 指定实体名称为aaa。[Gateway-pki-domain-ssl] certificate request entity aaa[Gateway-pki-domain-ssl] quitl生成RSA本地密钥对[Gateway] public-key local create rsaThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulus[default = 1024]:Generating Keys.....++++++++.++++++++++...++..++...++....++...++...++..++...++...++..++...++...++..++...++...++...++..++...++...++..++....++..++...++...++..++...++...++...++..++..++...++...++..++..++...++...++...++++++++.+++++++++.+...++..++....++...++..++..++..++...++...++..++...++...++..++...++.+++++++++++++++.+++++++..++...++..++...++++++++++++++.++++++++++l申请证书证书中包含有效时间，建议为Gateway申请证书之前，将Gateway与CA服务器的时间同步，以避免获取证书失败。&# 获取CA证书并下载至本地。[Gateway] pki retrieval-certificate ca domain sslRetrieving CA/RA certificates. Please wait a while......The trusted CA's finger print is:&&& MD5& fingerprint:9C7A 2FBA
F27D 5391 DCF7 9912&&& SHA1 fingerprint:189A CC85 F030 F866 51B1 9DD7 6DA9 65BA 5B05 2596&Is the finger print correct?(Y/N):y&Saving CA/RA certificates chain, please wait a moment.........CA certificates retrieval success.# 手工申请本地证书。[Gateway] pki request-certificate domain sslCertificate is being requested, please wait......[Gateway]Enrolling the local certificate,please wait a while......Certificate request Successfully!Saving the local certificate to device......Done!& (2)配置SSL服务器端策略# 创建一个名为myssl的SSL服务器端策略。[Gateway] ssl server-policy myssl# 配置SSL服务器端策略使用的PKI域名为ssl。[Gateway-ssl-server-policy-myssl] pki-domain ssl# 配置需要对客户端进行认证。为客户端申请本地证书的方法请参见“3.3.3& 配置HTTPS客户端”。[Gateway-ssl-server-policy-myssl] client-verify enable[Gateway-ssl-server-policy-myssl] quit(3)配置HTTPS服务# 配置HTTPS服务使用的SSL策略为myssl。[Gateway] ip https ssl-server-policy myssl# 使能HTTPS服务。[Gateway] ip https enable(4)创建本地用户# 创建本地用户abc，密码为123，服务类型为Telnet，能访问的命令级别为3。[Gateway] local-user abc[Gateway-luser-abc] password simple 123[Gateway-luser-abc] service-type telnet level 32. 配置文件[Gateway] display current-configuration#&version 5.20, Test 5310#&sysname Gateway#&domain default enable system#&telnet server enable#domain system&access-limit disable&state active&idle-cut disable &self-service-url disable# pki entity aaa & common-name gateway# pki domain ssl & ca identifier ca server& certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll & certificate request from ra&&certificate request entity aaa# local-user abc&password simple 123&service-type telnet&level 3#ssl server-policy myssl &pki-domain ssl &client-verify enable # interface Ethernet1/1&port link-mode route&ip address 5.5.5.2 255.255.255.0#interface Ethernet1/2&port link-mode route&ip address 1.1.1.1 255.255.255.0#&ip https ssl-server-policy myssl&ip https enable#&load xml-configuration#user-interface aux 0user-interface vty 0 4&authentication-mode none&user privilege level 3#return客户端申请证书的过程为：(1)在Admin上打开IE，并输入网址http://5.5.5.1:8080/certsrv。由于CA服务器默认网站的TCP端口号修改为8080，Admin访问CA服务器时需要指定端口号。(2)打开网页后，单击“申请一个证书”。图20 &为Admin申请证书1(3)选择证书类型为“Web浏览器证书”。图21 &为Admin申请证书2(4)输入证书的识别信息，如图22 所示。申请证书3(5)证书申请成功后，单击“安装此证书”。图23 &为Admin申请证书4证书安装成功后，打开[工具/Internet 选项]的“内容”页签，单击&证书&按钮，可以查看申请到的证书。(1)在Admin上打开IE，输入网址https://1.1.1.1，选择申请到的证书Admin。图24 &选择HTTPS客户端的证书(2)判断服务器证书的有效性。如果服务器的证书有效，则直接进入Gateway的Web网管用户登录界面，如图26 所示。如果服务器的证书存在问题，则通过安全警报提示用户是否继续访问服务器，从而避免用户信息被窃取。如果用户选择继续访问服务器，则单击&是&按钮，进入Gateway的Web网管用户登录界面。服务器的证书(3)进入Gateway的Web网管用户登录界面后，输入用户名abc、密码123，单击&登录&按钮，如图26 所示，进入Gateway的管理界面。网管用户登录界面&&&&&&&&Copyright (C)2008-2009 杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。Zen Cart的安装、设置、升级讨论和使用技巧交流
& 分页： 1 / 1
不清楚具体修改哪些东西，比如我想把ADMIN该名为jewelry。那下面admin的地方都换成jewelry吗？3. 改名&/admin&目录修改&admin&目录名，用一个很难猜测到的名字。(在进行下面的修改前，请备份文件和数据库。)A- 用文本编辑器，例如记事本，打开文件admin/includes/configure.php。将所有出现/admin/的地方改成自己的管理目录名。需要修改的部分:define('DIR_WS_ADMIN', '/admin/');把这个换成jewelry吗？define('DIR_WS_CATALOG', '/');这个需要修改吗？define('DIR_WS_HTTPS_ADMIN', '/admin/');把这个换成jewelry吗？没有加颜色的ADMIN要改吗？define('DIR_WS_HTTPS_CATALOG', '/');这个需要修改吗？需要修改的部分:define('DIR_FS_ADMIN', '//www/public/admin/');就改这个吗？define('DIR_FS_CATALOG', '//www/public/');这个要改吗/如果需要改要改哪里？B- 找到Zen Cart的/admin/目录，将该目录名按照admin/includes/configure.php中的定义作
帖子: 161注册:
只需修改红色字体地方， 再加上你的目录名
帖子: 193注册:
1.把 Public_html/ADMIN 改成 自己定义的文件名 XXXXX2.把配置文件 admin/includes/configure.php
includes/configure.php
文件内的几个 红色字体地方改为自己的路径 XXXXX
帖子: 26注册:
14:48地址: 广州
就没有一个人真正把这个问题搞清楚？
帖子: 3注册:
显示帖子 : 全部帖子1天7天2周1个月3个月6个月1年
排序 作者发表时间文章标题 升序降序
& 分页： 1 / 1
正在浏览此版面的用户：Bing [Bot] 和 4 位游客您可以在豆丁搜索您要找的内容
很抱歉，该文档已经被删除了...先到其它地方遛一圈吧！
你可能感兴趣的文档
&2008- Inc. All Rights Reserved 豆丁网
扫描二维码下载客户端
2亿文档免费下想问一下大家，如果我访问的网站是https的，那么黑客有没有办法监听我的数据流量啊？前几天在freebuf上面看到波兰因为DNS劫持大量用户被盗取银行钱了，是真的吗？黑客能够做到这种攻击吗？
谢邀。刚好这两天想要发布公共号关于这篇文章，“L”告诉你的？ 那我就简单的说说（随后同步到公众号和专栏）另外如果有人说有AD或者其他嫌疑，那你就当没看见关闭网页吧，用心去看。一、背景描述最近波兰CERT一篇名&Large-scale DNS redirection on home routers for financial theft&为的文章引起我们的注意，原文地址：（），报告中写到：“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码，最终窃取了用户银行里面的钱。”前两天微信公众号网站安全中心（wangzhan_anquan）发表消息：近日波兰遭遇大规模DNS劫持攻击，黑客通过修改家用路由器DNS配置从而劫持用户请求，最终窃取了用户银行里的钱！类似DNS劫持手法应该会很快便延伸到国内，危及网民安全。很多朋友收到此消息后给我们留言抛出这样的疑问：这个和去年的有什么不同？修改路由器dns劫持，国内已经有好多了，但是没听说过洗钱的。我只听说过能够dns劫持我的HTTP请求，HTTPS也不安全啊？More...更多朋友所不知道的是，HTTPS加密请求也能嗅探到？什么是HTTPS：HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。句法类同http:体系，用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任，那么黑客是怎么做到的嗅探HTTPS？简单的说黑客为了绕过HTTPS，采用了SSL层剥离的技术，黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接，使用户和代理服务器（攻击者所控服务器）之间使用了未加密的HTTP通信。二、攻击细节黑客（攻击者）使用了一款工具来实施攻击-SSLStrip，他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接，进行中间人劫持(类似于）。上面就是我使用sslstrip进行嗅探内网某设备的截图，当然这只是一张图：）上面就是我使用sslstrip进行嗅探内网某设备的截图，当然这只是一张图：）SSLStrip的工作原理：进行中间人攻击来劫持HTTP请求流量。将出现的HTTPS链接全部替换为HTTP，同时记录所有改变的链接。使用HTTP与受害者机器链接。同时与合法的服务器建立HTTPS。受害者与合法服务器之间的全部通信请求经过代理（攻击者服务器）转发。完成劫持请求攻击的流程原理可用下图表示：有关波兰遭遇大规模DNS劫持用户网上银行的事件中，因为使用SSLStrip会提醒用户连接没有使用SSL加密，黑客为了迷惑用户，重写了URL，在域名前加了“ssl-.”的前缀，当然这个域名是不存在的，只能在黑客的恶意DNS才能解析。有关波兰遭遇大规模DNS劫持用户网上银行的事件中，因为使用SSLStrip会提醒用户连接没有使用SSL加密，黑客为了迷惑用户，重写了URL，在域名前加了“ssl-.”的前缀，当然这个域名是不存在的，只能在黑客的恶意DNS才能解析。这件事情的源头是因为ZynOS路由器出现漏洞，导致的大批量DNS劫持，有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了，整个流程如下：攻击者批量劫持用户DNS重写URL迷惑用户使用SSLStrip进行请求劫持完成劫持波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip方法进行嗅探，这次方法要比之前单纯的DNS劫持有趣的多，当然危害也大的多。解决方案这种攻击方式马上会在国内展开攻击，这种攻击往往不是基于服务端，特别是SSL Stripping技术，其攻击手法不是针对相应固件也不是利用固件漏洞，所以大家有必要好好看一下解决方案，真正的把DNS防御杜绝在门外！检查DNS是否正常拿TP-Link举例，浏览器访问192.168.1.1（一般是这个，除非你改了），输入账号密码登陆（默认账号密码在说明书上都有）-& 网络参数-& WAN口设置-& 高级设置-& 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。* 如果你没有人工设置过，但勾选了，那就要警惕是否被黑客篡改了。* 如果没勾选，一般情况下没有问题。* 检查DNS IP是否正常：在百度上搜索下里面的DNS IP看看是不是国内的，如果是国外的则需要警惕了！除非是Google的8.8.8.8这个，看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况，有些正常DNS IP也会有人讨论质疑，这个需要大家自行判断一下，实在没把握就设置DNS IP如下：主DNS服务器：114.114.114.114，备用DNS服务器为：8.8.8.8关于其他品牌如何修改查看或者修改DNS的话，和上面步骤也差不多，实在找不到的话就百度一下，多方便。如果发现被攻击的痕迹，重置路由器是个好办法，当然下面的步骤是必须的：修改路由器Web登陆密码路由器一般都会有Web管理页面的，这个管理界面的登陆密码记得一定要修改！一般情况下默认账号密码都是admin，把账号密码最好都修改的复杂点儿吧！上面的步骤都是人工的，我们另外准备了工具（建议结合使用）：开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的，只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候注意网址左侧的证书颜色，绿色黄色红色分别代表不同级别！或者你还不了解DNS劫持？：
HTTPS 是安全的。HTTP 在 DNS 被劫持后，可以被随意窃听、修改。问题在于，你在访问私密页面时（比如网银），你的浏览器使用是 HTTP 还是 HTTPS。现在很多网站，包括国内银行，并不是所有网页都在使用 HTTPS。这就意味着，攻击者可以篡改那些使用 HTTP 的网页（或 CSS、JS 等其他资源）。以工行为例。网银页面当然是在 HTTPS 的保护之下的：但是工行的首页，是不提供 HTTPS 连接的：这就意味这，工行的首页实际上是可以被任意篡改的。（在网络环境不安全的情况下）这有什么问题呢？如果一个用户，想登陆网银，但他是先进的工行首页，然后再点击首页上的“登陆”链接：那就危险。这个“登陆”链接可能会被篡改，由 https://… 改为 http://…。此时，浏览器便会以不安全的 HTTP 与服务器建立连接！攻击者便可以使用类似 SSLStrip 的工具，将浏览器的 HTTP “转成” HTTPS，再发给银行服务器。用户 &== HTTP ==& 攻击者 &== HTTPS ==& 银行如果用户在这个 HTTP 的网银页面输入了自己的密码，就等于发给了攻击者。用户能察觉吗？能！在登录前瞄一眼浏览器地址栏，没有带锁的安全标识、非 https:// 开头（见第一幅图），即能知晓自己被攻击了。但是，有多少用户会注意到这些？（浏览器不会有任何警告，银行也不会察觉）网银的例子可能还不太好，应该不少人是像我一样，直接点收藏夹的链接登陆。这个链接不会被篡改。但是，在
这样登陆、下单时反复在 HTTP 和 HTTPS 间反复跳转的呢？你是否留意该转 HTTPS 的地方转 HTTPS 了吗。（一段跑题）有的网站更“吝啬”，连登陆页面都不用 HTTPS，自作聪明地使用 Javascript 加密用户密码。但由于这些 JS 本身可以被篡改，而且篡改后一般用户根本无法察觉，所以这么做更像是在自我安慰。实际上据说已经发生过这类攻击（）。如何防范：作为用户，平常留意一下哪些页面是使用 HTTPS 的，输入密码前确认一下地址栏：域名是否正确？是否是 https:// 开头，带有小锁的图标？将常用的网银登陆页面加入浏览器收藏夹。作为网站，现在越来越多的网站在全站部署 HTTPS，比如支付宝、推特、GitHub 等等。虽然会增加成本，但这是对用户负责。我认为这值得推广。（以上这些问题，应该说是普遍存在的。拿这几个网站举例，只是因为这几个网站是我最常使用的、最熟悉的罢了，没有其他什么意思。）
刚刚搜了这个新闻，是这条吗？新闻中说的，黑客在实施DNS劫持的时候，采用了“SSL剥离的技术”，实施中间人攻击。在自己与银行之间按照正常情况适用https，但是在用户与自己之间是http，说明现在证书还是无法伪造的，除非是正规证书的私钥被盗用。所以说，https协议目前是安全的，在访问加密网页的时候注意看看地址栏，对于安全要求严格的加密网页可以点进去看看https的证书是否正常，发证机构等信息是否正确，只要系统内证书机制维护正常，一般情况下是没有问题的。。。当然，注意你的浏览器，那是你最后的防线。。。根据维基百科：HTTPS的主要思想是在不安全的网络上创建一安全信道，并可在使用适当的加密包和服务器证书可被验证且可被信任时，对和提供合理的保护。HTTPS的信任继承基于预先安装在浏览器中的（如VeriSign、Microsoft等）（意即“我信任证书颁发机构告诉我应该信任的”）。因此，一个到某网站的HTTPS连接可被信任，：用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构；用户相信证书颁发机构仅信任合法的网站；被访问的网站提供了一个有效的证书，意即，它是由一个被信任的证书颁发机构签发的（大部分浏览器会对无效的证书发出警告）；该证书正确地验证了被访问的网站（如，访问时收到了给“Example Inc.”而不是其它组织的证书）；或者互联网上相关的节点是值得信任的，或者用户相信本协议的加密层（或SSL）不能被窃听者破坏。
Knownsec / Hacker / Programmer / n0tr00t