给网站启用 SSL 是否可以根治被运营商劫持？

有个本地的购物网站，被移动宽带劫持了 js 文件，篡改了文件内容加入了广告。
并不只是这个网站被劫持，其他网站同样被移动劫持，只是这个网站归我管，我得想办法解决这个网站。
请问全站强制启用 SSL 可以根治这个问题吗？
谢谢。

miyuki

2016-09-17 16:30:24 +08:00

如果运营商不做 HTTPS MITM 的话（目前貌似没有运营商会做这个），是可以的

tSQghkfhTtQt9mtd

2016-09-17 19:41:48 +08:00

启用 HTTPS + HSTS (Preload) + HPKP 应该就无法 MITM 了
@qgy18

alect

2016-09-17 22:24:43 +08:00

启用 https 目前来看已经足够，楼上的 hsts+hpkp 没太大必要。。

kozora

2016-09-17 22:39:20 +08:00

@alect 再加入 HSTS 列表更绝。。

shiji

2016-09-17 22:54:58 +08:00

如果用户瞎 XX 点“信任不安全的证书的话”，也没办法。
HSTSpreload 的话，不知道国内那些乱七八糟的浏览器能不能支持。

我回国的时候发现，不翻墙下载一个原版的 Firefox 简直是个不可能完成的任务。

vibbow

2016-09-17 23:05:36 +08:00

@shiji 联通表示下一个原版的 firefox 没什么问题。

wql

2016-09-17 23:09:06 +08:00

@vibbow 那是因为国际版本老是自动跳国内版本

shiji

2016-09-17 23:31:50 +08:00

@vibbow
@wql
@vibbow
总之那个国内版的 404 的时候有百度的广告，很好区分。搜索栏好像也预制了百度的什么插件。

nlzy

2016-09-18 00:13:09 +08:00

本回复和主题无关
@shiji http://ftp.mozilla.org 可以下载到原版的离线安装包

Cu635

2016-09-18 00:39:16 +08:00

@shiji
那不是劫持，那是 firefox 针对大陆 ip 做的跳转

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.