都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

@mercury233 没错，CA 签名机制加上证书链可以保证中间人攻击无效。除非客户端信任非系统自带的根证书，否则 https 无解的。 @fancy111 推荐看一下整个 https 的鉴权过程。

网上银行十几年前就双向 SSL 证书了
为啥后来还搞动态口令卡，浏览器安全组件，硬件数字证书，浏览器安全插件？

@fancy111 私钥签名，公钥验证 了解一下
在证书私钥不泄漏的前提下，假证书一眼就能看出来了，做不了假的

@lshero 怕不是觉得用户电脑上可能会装各种病毒木马和恶意软件，信不过信不过

只要我访问的是 https 我连谁的 wifi 都不怕
然后 没有人吐槽 好多银行都需要安装控件才登陆吗？

@bing1178
更应该吐槽的是，有些银行的控件下载链接是 http 的。虽然配合网盾可以做到安全(意味着大额操作不了)，但劫持下载假软件然后显示个假页面骗几个密码还是妥妥的。

@mxT52CRuqR6o5 #35 你说的这个是指安卓默认浏览器吧，实际上是否支持 HSTS 是浏览器说了算而不是设备。似乎目前存在一些 “云浏览器”，因为没有本地记录所以根本无法保留 HSTS。

@mercury233 #40 还有恶意 CA 或者 CA 错误签发，虽然有黑名单但总归是慢半拍的，金融相关稍微注意一下问题也不大（ App 可以用 SSL pinning ）。除此以外还有引导到假域名（ IDN homograph attack ）

@manami #27 首先，别拿 0day 说事。其次，过层 Wi-Fi 和过层代理在易受攻击性上有什么区别？
然后，黑客与骇客分分清楚？你说的到底是哪个论坛能这么异想天开？
只要没有数据交互，还能主动渗透？是随便哪个人会在自己手机上留 sshd 或 TCP adb ？

@no1xsyzy Quara 上的一个讨论：Are HTTPS websites safe when accessed through open WIFI networks?
链接： https://www.quora.com/Are-HTTPS-websites-safe-when-accessed-through-open-WIFI-networks#
截图(为了方便其他 v 友看页面用了谷歌翻译)： https://i.loli.net/2020/01/13/xsWNQhoryLeiHwg.png

这个问题的答案大部分都认为不是安全地

@manami 打错，Quora、安全的

@manami 我咋看到的和你是相反的，大部分都认为是安全的

@mxT52CRuqR6o5 老哥你确定？洗个脸后再看看。里面大多数都建议使用的 vpn 跟 https 可不是一个东西

没毛病，国内国企事业单位都这个样子，我们学校第三方弄的校园网认证系统都上 HTTPS 了，学校官网都没上 HTTPS……
主要是没动力升级，再加上老企业一堆 IE6，升了 HTTPS 导致部分浏览器打不开，谁负责？

这也就是为啥中国很多银行喜欢用“安全控件”的原因

@manami 我是看了票高的几个回答，没往下翻，往下翻确实是都在卖 vpn

@manami
https://www.zhihu.com/question/20091637
找了个知乎的类似问答，回答数量和赞的数量都比 quora 那个问题高，你看看这个

@fancy111 感觉不懂的是你才对。你想表达的是通过劫持 DNS 将域名解析到攻击者控制的主机上去。但是攻击者是无法伪造出一个受信任的证书的。不信你可以自己试试，你能在你搭的服务器上，弄出一个 https://v2ex.com 么？

至于初次访问降级的问题，上面也有人已经提到 HSTS 了。


@manami quora 上问这种。。。和知乎上问这种。。。感觉都不靠谱。你选择的这个回答就是一个很好的例子。沦为了卖 VPN 的人的广告。

@manami
所有那些说 https 不够安全的回答都是假设 ssl 存在一些 vulnerability 没有 patch，或者服务器 /客户端配置问题导致可以被攻击。但这些并不否定 HTTPS 设计上是安全的。
实际上 VPN 也基于类似的加密套件，如果你看 VPN 更新日志的话，也经常 patch 一些 vulnerability。而且 VPN 也同样可能存在配置问题(例如 Windows 默认 VPN 的加密是可选而非强制)。

所以更准确地概括那些回答的说法是，HTTPS 可能存在配置问题导致不安全，建议在 HTTPS 外再套一层 VPN。

@manami
另外真的不建议看 Quora，各种广告、答非所问、垃圾排序算法，连知乎都不如。当然知乎也不咋地。

@manami #48 Quara 里的降级攻击就没啥好说了吧，更何况里面的高票答案只有 3 个 up。stackexchange 里有更专业的讨论。在这里，更多的人认为是相对安全的，事实上使用 vpn 并不会提升安全性，其 mitm 攻击的难度不会高于 https。
我很好奇在哪个“国内外黑客论坛”发 https 在 open wifi 上的安全性是个笑话。据我所知，https 尽管有各种各样的问题，但是在开放信道上的相对安全性在 security community 应该是一个被广泛接受的认知。

@fancy111 啥？在 wifi 里设置个证书就能看明文 https 了？那搞爬虫的只能在本机上装证书看 https 的岂不是弱爆了

@fancy111 随便弄个非正式 CA 签发的假证书，怎么可能过得了浏览器的检验。