啊对对对2026年我居然还能见识到保留TLS11,TLS10的网站,还把个人信息明文http传输!
他不是不知道https的重要性,他是根本就没把用户数据安全放在首位!这就是玩忽职守!
如果你的站点还保留tls12的弱套件以及tls11以下的支持,那么你会喜提:
Downgrade
Downgrade attack(降级攻击 ) 降级攻击是一种对计算机系统或者通信协议的攻击,在降级攻击中,攻击者故意使系统放弃新式、安全性高的工作方式,反而使用为向下兼容而准备的老式、安全性差的工作方式,降级攻击常被用于中间人攻击,讲加密的通信协议安全性大幅削弱,得以进行原本不可能做到的攻击。 在现代的回退防御中,使用单独的信号套件来指示自愿降级行为,需要理解该信号并支持更高协议版本的服务器来终止协商,该套件是TLS_FALLBACK_SCSV(0x5600)
MITM
MITM(Man-in-the-middle) ,是指攻击者与通讯的两端分别创建独立的联系,并交换其所有收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个对话都被攻击者完全控制,在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。一个中间人攻击能成功的前提条件是攻击者能够将自己伪装成每个参与会话的终端,并且不被其他终端识破。
举个“栗子”:你访问某大学教务系统,攻击者拦下你的HTTPS请求,强制你们用TLS1.0甚至HTTP对话,而你以为是安全的,就把密码交了。整个过程,网站和你都不知道!
——如果你就是那个还在用HTTP的运维,这篇文章就是写给你看的。怎么办?你可以使用acme.sh来为自己的网站申请一张支持泛域名的tls证书,让你的网站安全更上一层楼!