究竟什么是SSL中间人进犯?
黑客潜入到你与受害者或是某个设备间的通信进程中，盗取敏感信息(多数是身份信息)进而从事各种违法行为的进程，就是一次中间人进犯。
SSL中间人进犯诞生于 1980 时代，是最陈旧的网络进犯方法之一。但它却更为常见。Weisman 解释道，发生中间人进犯的场景有很多种：
攻陷一个未有用加密的 WiFi 路由器：该场景多见于人们使用公共 WiFi 的时候。虽然家用路由器也很软弱，但黑客进犯公共 WiFi 网络的情况更为常见。黑客的方针就是从毫无戒心的人们那里盗取在线银行账户这样的敏感信息。
攻陷银行、金融顾问等组织的电子邮件账户：一旦黑客攻陷了这些电子邮件系统，他们就会假充银行或此类公司给受害者发邮件，他们以紧急情况的名义索要个人信息，比如用户名和暗码。受害者很简单被诱骗交出这些信息。
发送垂钓邮件：窃贼们还或许假充成与受害者有合作关系的公司，向其索要个人信息。在多个事例中，垂钓邮件会引导受害者访问一个假造的网页，这个假造的网页看起来就和受害者常常访问的合法公司网页一模一样。
在合法网页中嵌入恶意代码：进犯者还会把恶意代码(通常是 JavaScript)嵌入到一个合法的网页中。当受害者加载这个合法网页时，恶意代码首先按兵不动，直到用户输入账户登录或是信用卡信息时，恶意代码就会仿制这些信息并将其发送至进犯者的服务器。
SSL中间人进犯的三种情况
我们现在常见的SSL中间人进犯方法都是经过假造、剥离代码签名证书来完成的。因为SSL是为网络通信供给安全及数据完整性的一种安全协议，它可以验证参加通讯的一方或两边使用的证书是否由威望受信赖的CA组织颁布，而且能履行双向身份认证，简直不或许会被攻破。
换句话说，假如有SSL中间人进犯事情，并不是SSL协议或许代码签名证书的问题，而是代码签名证书的验证环节。中间人进犯的前提条件是，没有严格对证书进行校验，或许人为的信赖假造证书，因此以下场景正是最简单被用户忽视的证书验证环节：
l第 一种：网站并没有布置代码签名证书，网站处于HTTP明文传输状况。这种情况黑客可直接经过网络抓包的方法，明文获取传输数据。
l 第二种：黑客经过假造代码签名证书的方法进行进犯，用户安全意识不强挑选继续操作。
l 第三种：黑客假造代码签名证书，网站/APP只做了部分证书（域名）校验，导致假证书蒙混过关.
怎么才能避免遭受中间人进犯?
真正的HTTPS是不存在SSL中间人进犯的！所以首先要确认网站有布置代码签名证书。那么用户怎么判断网站有没有代码签名证书维护呢?
l 榜首：访问时网址栏显现：https:// 。
l 第二：阅读器显现醒目安全锁，点击安全锁，可检查网站、企业的实在身份。
l 第三：使用了EV 代码签名证书的网站，显现绿色地址栏，并在网址栏出现企业名称。
其次，采用威望CA组织颁布的受信赖的代码签名证书。数字证书颁布组织CA是可信赖的第三方，在验证申请者的实在身份后才会颁布代码签名证书，可以说是维护用户信息安全的榜首道关口。
最终，对代码签名证书的证书链进行校验。假如是阅读器能辨认的代码签名证书，则需要检查此代码签名证书中的证书撤消列表，假如此证书现已被证书颁布组织撤消，则会显现警告信息：“此组织的证书已被撤消。安全证书问题或许显现试图诈骗您或截获您向服务器发送的数据。主张关闭此网页，而且不要继续阅读该网站。”
假如以上都没有问题，阅读器还会查询此网站是否现已被列入诈骗网站黑名单，假如有问题也会显现警告信息。
企业可以做到证书布置和校验环节完整，个人用户可以认真调查HTTPS安全标识，辨认证书实在性、有用期等信息，HTTPS简直是无法攻破的，所谓的SSL中间人进犯底子不或许存在。
要时刻记住，你并不需要马上就点击某些链接，你也并不需要遵从某个陌生人的主张，无论这些信息看起来有多么紧急。互联网始终都在。你大可以先脱离电脑，去证明一下这些人的实在身份，看看这些“无比紧急”的页面究竟是真是假。
虽然任何人都或许遭遇中间人进犯，只需弄了解何为中间人进犯，了解中间人进犯怎么发生，并采取有用的防范措施，就可以维护自己避免成为其受害者。