上一篇
https安全检测App
HTTPS安全检测App通过验证证书合法性、检查协议安全性及评估加密强度,有效识别风险网站,保障数据传输安全,防止信息泄露
HTTPS安全检测核心要点
证书验证检测
证书有效性
- 检测方法:检查证书过期时间、颁发机构(CA)合法性
- 风险提示:证书过期/自签名证书/未受信任的根证书
- 示例:iOS/Android系统内置证书库校验
证书链完整性
- 检测方法:验证中间证书到根证书的完整链条
- 异常情况:证书链断裂(如缺少中间证书)
OCSP实时校验
- 检测方式:检查在线证书状态协议(OCSP)响应
- 风险:被吊销的证书仍尝试建立连接
加密协议强度检测
| 检测项 | TLS版本 | 加密套件 | 风险等级 |
|---|---|---|---|
| 最低支持协议 | TLS1.2+ | 高危 | |
| 禁用压缩协议 | MD5/SHA1 签名、DES/3DES/RC4 | 中危 | |
| 密钥交换算法 | RSA密钥长度≥2048位或ECC曲线≥256位 | 高危 |
域名匹配验证
- 主机名验证:检查
Common Name和Subject Alternative Name是否匹配访问域名 - 通配符证书:检测泛域名证书是否滥用(如
.example.com覆盖api.example.com) - 案例:银行App需严格拒绝
.example.com证书访问bank.example.com
中间人攻击防护
证书绑定检测
- 验证证书与服务器IP的绑定关系(通过DANE或证书扩展)
- 异常:动态IP环境需特殊处理
防劫持机制
- 检测下行数据签名(如HTTP Strict Transport Security, HSTS)
- 检查证书透明度日志(CT Logs)嵌入情况
安全配置检测
[ ] 是否启用TLS1.3(移动端兼容性需验证) [ ] 是否禁用P-xxxx系列弱密码套件 [ ] 会话票据(Session Ticket)安全性 [ ] 安全重协商(防止RENEGOTIATION攻击)
破绽扫描模块
- 心脏出血检测:检查OpenSSL版本及心跳扩展实现
- FREAK攻击防御:验证是否限制出口级加密套件
- Logjam破绽:检测DH参数最小位数(建议≥2048位)
隐私保护增强
- 证书指纹存储:避免明文保存服务器证书
- 无痕模式:检测时不发送设备指纹等隐私数据
- 本地化验证:关键校验逻辑需在端侧完成
常见问题解答
Q1:HTTPS页面出现混合内容有什么风险?
A:当HTTPS页面加载HTTP资源时,会导致:
- 传输中的明文数据被改动/窃听
- 第三方资源被中间人替换(如广告注入)
- 浏览器地址栏「锁」图标变灰并警告用户
解决方案:强制所有资源使用HTTPS加载,或标记非必要资源为pragma: no-cache
Q2:HSTS(HTTP Strict Transport Security)的作用机制是什么?
A:HSTS通过服务器响应头Strict-Transport-Security实现:
- 强制浏览器始终使用HTTPS访问该域名
- 防止SSL剥离攻击(将HTTPS降级为HTTP)
- 最大保护期可达1年(通过
max-age参数设置)
示例:Strict-Transport-Security: max-age=31536000; includeSubDomains
