HTTPS使用SSL，提供身份验证和安全性，这样你就知道你连接到了正确的网站，没有人可以窃听你。不管怎么说，这就是理论。实际上，Web上的SSL有点乱七八糟。

这并不意味着HTTPS和SSL加密毫无价值，因为它们绝对比使用未加密的HTTP连接要好得多。即使在最糟糕的情况下，受损的HTTPS连接也只会和HTTP连接一样不安全。

证书颁发机构的绝对数量

相关：什么是HTTPS，我为什么要关心？

您的浏览器具有内置的受信任证书颁发机构列表。浏览器只信任由这些证书颁发机构颁发的证书。如果你访问了Example.com，https://example.com，上的Web服务器会向你提供一个ssl证书，而你的浏览器会进行检查，以确保该网站的ssl证书是由可信的证书颁发机构颁发给example.com的。如果证书是为另一个域颁发的，或者如果它不是由受信任的证书颁发机构颁发的，您将在浏览器中看到一条严重警告。

一个主要问题是有太多的证书颁发机构，所以一个证书颁发机构的问题可能会影响到每个人。例如，您可能从VeriSign获得您的域的SSL证书，但有人可能危害或欺骗另一个证书颁发机构，从而也获得您的域的证书。

证书权威机构并不总是激发人们的信心

相关：浏览器如何验证网站身份并防范冒名顶替者

研究发现，一些证书颁发机构在颁发证书时甚至没有进行最低限度的尽职调查。他们已经为永远不需要证书的地址类型颁发了SSL证书，例如“localhost”，它总是代表本地计算机。2011年，EFF发现了2000多份由合法、可信的证书颁发机构颁发的“localhost”证书。

如果受信任的证书颁发机构在没有首先验证地址是否有效的情况下颁发了这么多证书，那么很自然会想知道他们还犯了什么错误。可能他们还给攻击者颁发了他人网站的未经授权的证书。

扩展验证证书或EV证书试图解决此问题。我们已经介绍了SSL证书的问题以及EV证书如何尝试解决这些问题。

认证机构可能会被强制签发假证书

因为有太多的证书颁发机构，它们遍布世界各地，任何证书颁发机构都可以为任何网站颁发证书，政府可以强迫证书颁发机构为他们想要模拟的网站颁发SSL证书。

这可能最近发生在法国，谷歌在那里发现google.com的流氓证书是由法国证书权威机构ANSSI颁发的。当局将允许法国政府或其他任何拥有它的人冒充谷歌的网站，很容易进行中间人攻击。Anssi声称，该证书只在专用网络上用于窥探网络自己的用户，而不是由法国政府使用。即使这是真的，在颁发证书时也会违反ANSSI自己的政策。

并不是所有地方都使用完全前向保密

许多网站不使用“完全向前保密”，这是一种使加密更难破解的技术。如果没有完全的前向保密性，攻击者可以捕获大量加密数据并使用单个密钥将其全部解密。我们知道美国国家安全局和世界各地的其他国家安全机构正在收集这些数据。如果他们在几年后发现某个网站使用的加密密钥，他们可以使用它来解密他们在该网站和连接到该网站的每个人之间收集的所有加密数据。

完美前向保密通过为每个会话生成唯一密钥来帮助防范这种情况。换句话说，每个会话都使用不同的密钥进行加密，因此不能使用单个密钥将其全部解锁。这可以防止有人一次解密大量加密数据。因为很少有网站使用这种安全功能，所以国家安全机构未来更有可能解密所有这些数据。

中间人攻击和Unicode字符

相关：为什么使用公共Wi-Fi网络会很危险，即使是在访问加密网站时也是如此

遗憾的是，使用SSL仍然可以进行中间人攻击。从理论上讲，连接到公共Wi-Fi网络并访问银行网站应该是安全的。您知道连接是安全的，因为它是通过HTTPS的，并且HTTPS连接还可以帮助您验证您是否已实际连接到您的银行。

在实践中，在公共Wi-Fi网络上连接到您的银行网站可能会很危险。有一些现成的解决方案可以让恶意热点对连接到它的人执行中间人攻击。例如，Wi-Fi热点可能会代表您连接到银行，来回发送数据，并位于中间。它可以偷偷地将你重定向到一个HTTP页面，并代表你用HTTPS连接到银行。

它也可以使用“同形异形的HTTPS地址”。这是一个在屏幕上看起来与你的银行的地址相同的地址，但实际上使用了特殊的Unicode字符，所以它是不同的。“这种最后也是最可怕的攻击类型被称为国际化域名同形异义词攻击。检查Unicode字符集，您会发现看起来与拉丁字母中使用的26个字符基本相同的字符。也许你连接的google.com中的o实际上不是o，而是其他字符。

当我们研究使用公共Wi-Fi热点的危险时，我们对此进行了更详细的讨论。

当然，HTTPS在大多数情况下都运行良好。当你访问咖啡馆并连接到他们的Wi-Fi时，你不太可能遇到如此聪明的中间人攻击。真正的问题是HTTPS有一些严重的问题。大多数人信任它，并没有意识到这些问题，但它离完美还差得远。

图片来源：莎拉·乔伊(Sarah Joy)