首先,我們先了解下什麼是鏈路層:數據鏈路層是OSI參考模型中的第二層,介乎於物理層和網絡層之間。而鏈路層劫持是指黑客通過在用戶至服務器之間,植入惡意設備或者控制網絡設備的手段,偵聽或篡改用戶和服務器之間的數據,達到竊取用戶重要數據的目的。
簡單的說,鏈路層劫持最直接的危害就是帳號、密碼被竊取。如何防止鏈路層被劫持?HTTPS是目前應對鏈路劫持應用最爲廣泛的解決方案。衆所周知,傳統的http是明文傳輸的,數據在http傳輸過程中很容易被竊取及監聽,而HTTPS則不然,HTTPS是HTTP的安全版本,因此是解決鏈路層被劫持的可行性方案。
HTTPS證書的兩大作用是數據加密傳輸和身份驗證,如果只是進行數據加密仍不能解決問題,因爲加密是對application data進行的,網絡層的信息都沒有被加密,而身份驗證可以保證客戶端訪問的網站是經過CA驗證的可信任的網站。所以這就杜絕了鏈路被劫持的可能。
如何選擇HTTPS證書,防止鏈路層被劫持
在此提醒大家,並不是所有的HTTPS證書都能有效防止鏈路層被劫持,如域名型SSL證書,只進行數據加密,無法進行身份驗證。在比如採用開源工具自己簽發的自簽名SSL證書,其頒發機構不可靠,沒有第三方監督審覈,不受瀏覽器信任,任何人都可以隨意簽發,因此常被黑客用於僞造證書進行中間人攻擊。而這類HTTPS證書是無法保護鏈路安全的。
因此,一定要選擇國家授牌CA認證機構(如天威誠信)簽發的HTTPS證書。天威誠信自2000年將DigiCert/Symantec認證業務引入中國,經其簽發的HTTPS證書可以支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各類瀏覽器、操作系統和移動終端,具有高兼容、高可用性,可幫助企業網站解決數據傳輸安全問題,防止流量劫持、數據泄露和釣魚網站。