给网站启用 SSL 是否可以根治被运营商劫持？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2981 天前的主题，其中的信息可能已经有所发展或是发生改变。

有个本地的购物网站，被移动宽带劫持了 js 文件，篡改了文件内容加入了广告。
并不只是这个网站被劫持，其他网站同样被移动劫持，只是这个网站归我管，我得想办法解决这个网站。
请问全站强制启用 SSL 可以根治这个问题吗？
谢谢。

劫持

SSL

网站

根治

15 条回复 • 2016-09-18 00:39:16 +08:00

miyuki

2016-09-17 16:30:24 +08:00

如果运营商不做 HTTPS MITM 的话（目前貌似没有运营商会做这个），是可以的

Xrong

2016-09-17 17:40:16 +08:00

同关注，被劫持怕了~

xiaoz

2016-09-17 18:36:26 +08:00 via iPhone

至少说启用比不起用好很多

tSQghkfhTtQt9mtd

2016-09-17 19:41:48 +08:00

启用 HTTPS + HSTS (Preload) + HPKP 应该就无法 MITM 了
@qgy18

alect

2016-09-17 22:24:43 +08:00

启用 https 目前来看已经足够，楼上的 hsts+hpkp 没太大必要。。

kozora

2016-09-17 22:39:20 +08:00

@alect 再加入 HSTS 列表更绝。。

shiji

2016-09-17 22:54:58 +08:00

如果用户瞎 XX 点“信任不安全的证书的话”，也没办法。
HSTSpreload 的话，不知道国内那些乱七八糟的浏览器能不能支持。

我回国的时候发现，不翻墙下载一个原版的 Firefox 简直是个不可能完成的任务。

vibbow

2016-09-17 23:05:36 +08:00

@shiji 联通表示下一个原版的 firefox 没什么问题。

wql

2016-09-17 23:09:06 +08:00 via Android

@vibbow 那是因为国际版本老是自动跳国内版本

vibbow

2016-09-17 23:13:27 +08:00

@wql 没有啊

vibbow

2016-09-17 23:17:49 +08:00

@wql 试了一下，直接访问 firefox.com ，自动跳转到了
https://www.mozilla.org/zh-CN/firefox/new/?utm_medium=referral&utm_source=firefox-com

shiji

2016-09-17 23:31:50 +08:00

@vibbow
@wql
@vibbow
总之那个国内版的 404 的时候有百度的广告，很好区分。搜索栏好像也预制了百度的什么插件。

nlzy

2016-09-18 00:13:09 +08:00 via Android

本回复和主题无关
@shiji http://ftp.mozilla.org 可以下载到原版的离线安装包

IMRES

2016-09-18 00:36:56 +08:00

@shiji 这有 https://www.mozilla.org/en-US/firefox/all/

Cu635

2016-09-18 00:39:16 +08:00

@shiji
那不是劫持，那是 firefox 针对大陆 ip 做的跳转