一、什么是HTTPS证书未校验？

想象一下：你走进一家银行，柜台人员穿着制服，但没人检查他的工牌。这时候，他可能是真职员，也可能是骗子冒充的。HTTPS证书未校验就是类似的漏洞——客户端（比如浏览器或App）没有严格验证服务器的“身份证”（SSL/TLS证书），导致可能连接到假冒的网站或服务器。

例子1：虚假Wi-Fi钓鱼

黑客在咖啡厅架设一个同名Wi-Fi，伪装成星巴克的登录页面。如果你的手机App没有校验证书，就会直接连上黑客的服务器，输入账号密码时数据直接被窃取。

二、为什么会出现这个问题？

1. 开发者偷懒：为了省事，代码里直接关闭了证书校验（比如Android中`OkHttp`设置`信任所有证书`）。

2. 配置错误：服务器证书过期、域名不匹配（比如证书是`www.a.com`，但实际访问的是`api.a.com`）。

3. 中间人攻击（MITM）工具干扰：有些企业防火墙或调试工具（如Fiddler、Charles）会替换证书，如果客户端未正确校验，就会放行恶意流量。

例子2：App数据泄露事件

某知名金融App曾被曝出漏洞：它信任所有证书，导致黑客能通过伪基站截获用户的交易请求，篡改转账金额和收款账户。

三、危害有多大？数据分分钟变“裸奔”

- 窃取敏感信息：登录凭证、银行卡号、聊天记录等。

- 篡改数据：比如把“转账100元”改成“转账10000元”。

- 恶意软件植入：下载的“正版软件”可能是病毒。

例子3：假健康码App事件

2025年国内曝出多款伪造的健康码App，它们模仿官方界面但未校验服务器证书。用户下载后提交的个人信息全部流向黑客数据库。

四、如何检测和修复？开发者必看！

检测方法

1. 抓包测试：用Burp Suite或Fiddler尝试拦截HTTPS流量，如果成功且无警告，说明客户端未校验证书。

2. 代码审计：搜索关键词如`TrustAllCertificates`、`allowAllHostnames()`等危险配置。

修复方案（附代码示例）

- Android（OkHttp）: 必须校验证书域名和有效期！

```kotlin

val certificatePinner = CertificatePinner.Builder()

.add("example.com", "sha256/AAAAAAAA...") // 固定正确的证书指纹

.build()

val client = OkHttpClient.Builder()

.certificatePinner(certificatePinner)

```

- Python Requests库: 拒绝不安全的请求！

```python

import requests

response = requests.get("https://example.com", verify=True)

verify=True强制校验

五、普通用户如何自保？记住这3招！

1. ??警惕浏览器警告！如果看到“此网站不安全”，千万别点“继续访问”。

2. ??检查域名和锁图标：合法的HTTPS网地址栏会有??标志。

3. ??只从官方渠道下载App！非应用商店的安装包风险极高。

六、

HTTPS证书是网络通信中的"身份证"，一旦忽视校验就相当于让数据"裸奔"。无论是开发者还是用户都要提高安全意识——前者需严格代码规范后者需养成安全习惯。

如果你是企业运维人员建议定期扫描内网服务；如果是开发者赶紧检查项目中的HTTP库配置；如果是普通用户遇到可疑链接先默念三遍："不点！不信！不输入密码！"

TAG:https 证书未校验,证书未验证已经阻止,证书未验证,证书未校验是什么意思,证书校验失败,证书校验失败,请检查您的网络