世界最大色☆禁☆情網站 Pornhub 用 HTTPS 資料加密，它如何讓你更安全地看片？ | 深度

分類＼手機
時間＼2017-04-06

午休時間，小 A 戴著眼鏡在辦公室，盯著螢幕一臉緊張。

“哎呀，小 A 真不錯啊，休息時間還這麼積極開展工作。”

領導繞到了小 A 身後，準備嘉獎一番。

只見電腦螢幕上出現了不可描述的網站。

小A 一驚，結結巴巴地解釋，“領導，我剛查資料，不知道怎麼打開一個網站，就跳轉到了這個網站”。

領導看了一眼流覽器地址欄上的“綠色小鎖”，真相了然於胸。

領導看到“綠色小鎖”應該是下面這一把：

（上班時間打開這個網站，雷鋒網編輯略有壓力）

對了，這就是世界上最大的色☆禁☆情網站 Pornhub 。最近， Pornhub 和其姐妹網站 YouPorn 了採用 HTTPS 網頁加密技術，因此，只要你打開這兩家的網址，位址欄就會出現這把“綠色小鎖”。

事實上，只要看到這把“綠色小鎖”，基本能保證“你連接的是你想要連接的網站”。小 A 的詭辯因此被洞察……

HTTPS 是什麼？老司機為什麼加上“綠色小鎖”

上羞羞網站被抓包，你害怕它的後果嗎？2016年，曾發生過三起比較嚴重的色☆禁☆情網站資訊洩露事件。

2016年5月，著名駭客 Peace in Mind（內心的平靜）在著名暗網黑市 The Real Deal 掛出了一個“爆款”商品，那就是 4000萬 Fling 的使用者註冊資訊。包括所有用戶的郵箱地址、註冊名、純文字密碼、歷史登陸IP地址以及生日。

2016年10月，成人約會和娛樂公司 Friend Finder Network 經歷一次最大規模駭客攻擊，導致超過4.12億的帳戶資訊洩露。該公司旗下有號稱 “全世界最大約炮社區”的 Adult Friend Finder，以及 penthouse 等其他幾個成人網站。

2016年11月，成人網站 xHamster 有超過 380000 的使用者資料在網路地下黑市被公開售賣，其中包括用戶名、電子郵寄地址以及經過 MD5 雜湊密碼，令人咋舌的是，其中還包含了美國軍方以及英國等多國政府郵箱。

輕則有人購買這些資訊給你推送相關羞羞廣告，重則竊取資訊，造成重大財務損失，還有更嚴重的，想必你可能在神劇《黑鏡》裡看過，以隱私資訊相要脅，家破人亡也是有可能的。更甚者，你看，上面還有政府資訊洩露。

採用 HTTPS 網頁加密，加上“綠色小鎖”有什麼用？雷鋒網曾在這樣一篇文章

《想看小黃片卻擔心被抓包？這些網站能讓老司機放心“開車”》

中就有探討：

“使用 HTTPS，你的 ISP （互聯網服務供應商）就不會知道你在色☆禁☆情網站上幹了些什麼，即使是政府和間諜也不能辦到，因為這些資訊是加密的。至於完整性，部署 HTTPS 可以防止協力廠商，或 ISP 惡意軟體的注入。事實上，我們已經在自己的頁面上實現了 HTTPS 加密。”美國民主與技術中心 CDT 首席技術專家 Joseph Hall 表示。

先不要一臉懵逼。看看為什麼 Pornhub 為什麼要拋棄 HTTP，轉投 HTTPS 的懷抱。

超文字傳輸協定 HTTP 協定被用於在 Web 流覽器和網站伺服器之間傳遞資訊。也就是說，它是一個“傳聲筒”。但是，HTTP 協定以明文方式發送內容，不提供任何方式的資料加密，如果攻擊者截取了 Web流覽器和網站伺服器之間的傳輸報文，就可以直接讀懂其中的資訊，因此 HTTP 協定不適合傳輸一些敏感資訊，比如信用卡號、密碼等。

為了解決 HTTP 協議的這一缺陷，安全通訊端層超文字傳輸協定 HTTPS 應運而生。為了資料傳輸的安全，HTTPS 在 HTTP 的基礎上加入了 SSL 協議，SSL 依靠證書來驗證伺服器的身份，並為流覽器和伺服器之間的通信加密。

HTTPS 和 HTTP 的區別主要為以下四點：

HTTPS 協定需要到 CA 申請證書，一般免費證書很少，需要交費。

HTTP 是超文字傳輸協定，資訊是明文傳輸，HTTPS 則是具有安全性的 SSL 加密傳輸協議。

HTTP 和 HTTPS 使用的是完全不同的連接方式，用的埠也不一樣，前者是80，後者是443。

HTTP 的連接很簡單，是無狀態的，HTTPS 協定是由SSL+HTTP協定構建的可進行加密傳輸、身份認證的網路通訊協定，比 HTTP 協議安全。

“說人話”的版本是，

HTTPS 可以保證——

你流覽的頁面的內容如果被人中途看見，將會是一團亂碼。

你流覽的頁面就是你想流覽的，不會被駭客在中途修改，網站收到的資料包也是你最初發的那個，不會把你的資料給換掉，搞出一個大新聞。

你連接的是你想要連接的網站，不會出現有人中途偽造一個網站給你。

這意味著，你在看羞羞的網站內容時，這些內容不會因為被人偷偷截取被發現，也不會明明要看羞羞的網站，卻上了一個你不需要的賣壯陽藥的網站。

HTTPS 工作原理：兩位“地下党”接頭紀實

一名久經考驗的老地下黨員終於要見到同志了，他們甩掉了跟蹤他們的耳目，在一個隱秘的小巷，說一聲“天龍蓋地虎”，對方答“寶塔鎮河妖”，成功對接，互道一聲“同志你好”。

這就是

HTTPS 在傳輸資料之前需要流覽器與服務端（網站）之間進行一次“握手”，在握手過程中確立雙方加密傳輸資料的密碼資訊。

對，這並不是正式傳遞內容，只是“加好友”。

兩個互相不能信任的人開始了試探……

當然， HTTPS 使用的接頭暗號絕對不是這麼簡單。他們使用的“密碼本”比戰爭時期的更難破譯。

“接頭暗號”TLS/SSL協議不僅僅是一套加密傳輸的協議，更是一件經過藝術家精心設計的藝術品，因為 TLS/SSL中使用了非對稱加密、對稱加密以及雜湊演算法。

全世界只有一種“加密的執著”可以和上面的加密程度媲美——情侶們為求天長地久一層一層地往樹上掛滿同心結，往橋上加鎖。

兩位“地下黨”是這麼接頭的：

1.流覽器將自己支援的一套加密規則發送給網站。

2.網站從中選出一組加密演算法與雜湊演算法，並將自己的身份資訊以證書的形式發回給流覽器。證書裡面包含了網站位址，加密公開金鑰，以及證書的頒發機構等資訊。

3.兩人交換信物，開始驗證信物。

獲得網站證書之後，流覽器要

驗證證書的合法性，比如，頒發證書的機構是否合法，證書中包含的網站位址是否與正在訪問的位址一致等。

如果證書受信任，則流覽器欄裡面會顯示一個小鎖頭，否則會給出證書不受信的提示。如果

證書受信任，或者是用戶接受了不受信的證書，流覽器會生成一串亂數的密碼，並用證書中提供的公開金鑰加密。

然後兩位元同志使用約定好的雜湊計算消息，使用生成的亂數對消息進行加密，最後將之前生成的所有資訊發送給網站。

一方發出了好友認證申請……

4.網站接收流覽器發來的資料後，開始了瘋狂解密的過程。

首先，它使用自己的私密金鑰將資訊解密取出密碼，使用密碼解密流覽器發來的握手消息，並驗證雜湊是否與流覽器發來的一致。

然後，使用密碼加密一段握手消息，發送給流覽器。

5.流覽器解密並計算握手消息的雜湊，如果與服務端發來的雜湊一致，此時握手結束，之後所有的通信資料將由之前流覽器生成的隨機密碼並利用對稱加密演算法進行加密。

這裡流覽器與網站互相發送加密的握手消息並驗證，目的是為了保證雙方都獲得了一致的密碼，並且可以正常的加密解密資料，為後續真正資料的傳輸做一次測試。

這是互相試探的前奏，只有認證成功，他們才真正開始傳輸。

接受好友申請，他們即將開展友好往來……

有 HTTPS

就能放心開車？

就當羞羞網站張開懷抱擁抱 HTTPS ，你以為萬事大吉，可以放心嘿嘿嘿時，還有一些小插曲可能會讓你心生疑慮。

（並不是這個問題）

外媒 wordfence 曾有一篇文章指出：

在許多假冒知名公司的釣魚網站中，如假冒 Google、微軟、蘋果等，所使用的 SSL 證書來自多個認證機構（CA）的頒發。

Chrome 流覽器只對 SSL 證書的有效性進行判斷，如果有效則直接將網站顯示為“安全”。

即使網站證書已被 CA 認證機構撤銷，Chrome 流覽器仍將網站標識為“安全”。已撤銷”狀態僅在 Chrome 開發人員工具中可見。而

已發佈有效 SSL 證書的惡意網站，需要一段時間後才會被拉入Chrome 的惡意網站列表中。

這是CA 證書失效延遲可能造成的後果。

知乎電腦問題優秀答主“車小胖”認為：

HTTPS 並不是 100% 絕對可靠。

“斯諾登暴露出，針對IPsec，TLS的金鑰交換所依賴的Diffie-Hellman演算法攻擊，即通過離線的超級電腦預先計算出海量的公開金鑰、私密金鑰對，一旦嘗試出私密金鑰就會得到Master Key，進而推導出session key，這樣歷史資料、現在、將來的資料全可以解密。

以上是被動攻擊方式，針對數位憑證欺騙則屬於主動攻擊，可以即時地解密使用者資料。但種種主、被動攻擊難度都很高，往往是以國家意志為源動力，而不是一些小團體所能完成的。”

雷鋒網編輯還檢索到，在一則《“淨廣大師”病毒 HTTPS 劫持技術深度分析》的文章中，還有病毒”劫持”SSL 證書的案例。

該病毒是通過代理的方式，以中間人攻擊的形式來劫持 HTTPS 流量。當流覽器訪問某度時，病毒驅動會將連向某度(61.135.169.125) 443埠 (HTTPS) 的連結重定向到本地的 10100 監聽埠，explorer 中的病毒代碼再代替流覽器發起與遠端Web伺服器的連結進行通訊。該病毒同時通過自己攜帶的證書分別與流覽器和遠端 Web 伺服器完成 SSL 握手，進而以中間人攻擊的形式完全控制 HTTPS 鏈路通信。

如果你還注意到這句話——“HTTPS 協定需要到 CA 申請證書，一般免費證書很少，需要交費”，就會發現“HTTPS ，不是你想用就能用”。因此，一些免費發送證書的機構應運而生。

免費的午餐被利用時，用戶吃到的可能是蒼蠅。

比如，非營利網路認證發放機構 Let's Encrypt 推出了開源免費的HTTPS認證服務。不過，據中關村線上報導，近期有專家發現，Let's Encrypt 發放的認證證書有被濫用的趨勢。該報導還指出“迄今已發行15270個內含 PayPal 字樣的證書，當中約有 96.7 %被用於釣魚網站，這表示約有 14766 個釣魚網站已經擁有與 PayPal 相關的證書”。

最後，照顧到部分看上去“什麼技術也不懂”的 Pornhub 等類似網站用戶的需求，雷鋒網編輯向一位資深互聯網從業人士請教了實操建議：

在不考慮 CA 證書失效的基礎上，直接在位址欄裡面輸入的 HTTPS 是安全的，跳轉的 HTTPS 不一定安全。也就是說，訪問一個 HTTP 的連結，網站跳轉到 HTTPS 還是可能被劫持，所以訪問時最好確認第一次打開的位址欄裡就帶 HTTPS 。

HTTPS 安全也是假定你的電腦沒有被入侵，是乾淨的。如果你電腦已經被控制了，那就沒什麼安全可言了。

跳轉 HTTPS 的場景大量存在，不是資深用戶的話不要輕易相信公共場所無線AP的安全性，即使用 HTTPS。