當(dāng)前已經(jīng)越來越多的網(wǎng)站和流量使用加密的HTTPS進行連接，采用HTTPS加密連接可以防止攻擊者采用中間人的方式竊取用戶瀏覽器與網(wǎng)站服務(wù)器之間的通訊數(shù)據(jù)。相對于HTTP來說更多的用戶會相信瀏覽器標(biāo)記綠色的HTTPS連接，而綠色的標(biāo)識有時候也有可能暗藏殺機。

此前普遍的HTTP時代部分安全軟件會檢查連接內(nèi)容確保安全性，這些安全軟件把該功能也帶來到了 HTTPS 。

那么這些安全軟件是如何監(jiān)聽 HTTPS流量的呢?那就是直接向本地導(dǎo)入自定義的證書來替代網(wǎng)站原本的證書。把數(shù)字證書導(dǎo)入到系統(tǒng)受信任的區(qū)域后安全軟件即可替換掉網(wǎng)站證書，這種情況下瀏覽器是不會發(fā)出報警的。

這種方法就類似于中間人攻擊(MIT)的手法先攔截流量再檢查流量內(nèi)容，若內(nèi)容沒有問題則放行重新連接。除了部分安全軟件外某些廣告攔截軟件也會使用類似手法來識別頁面內(nèi)容，這種手法實際上已經(jīng)帶來了隱患。

這種操作手法的安全性會完全依賴對應(yīng)的軟件，如果軟件沒有正確的對原內(nèi)容進行驗證那么即可中間人攻擊。這僅僅相當(dāng)于你與使用的軟件之間產(chǎn)生了HTTPS連接，而這些軟件能否識別與網(wǎng)站之間的連接就是未知的了。

研究人員在名為《HTTPS攔截產(chǎn)生的安全影響》論文中指出，對最常見的TLS攔截中間設(shè)備和客戶端攔截軟件進行測試后發(fā)現(xiàn)它們多數(shù)都會引入安全漏洞。

研究人員指出，“雖然對于某些老舊客戶端來說，代理增強了連接的安全性，但對于所引入的漏洞來說這些改進不足為道：97%的火狐連接、32%的電商連接和54%的Cloudflare連接被攔截后安全性會變?nèi)?rdquo;，而且“這些被嚴(yán)重損壞的多數(shù)連接是由基于網(wǎng)絡(luò)的中間設(shè)備而非客戶端安全軟件引發(fā)的：62%的中間設(shè)備連接安全性變?nèi)?，?8%的中間設(shè)備連接存在嚴(yán)重漏洞從而啟動后續(xù)攔截”。

在研究人員所測試的12款中間設(shè)備中(包括Checkpoint、Juniper、Sophos產(chǎn)品)，只有一款達到A級。5款設(shè)備被評為F級即不合格也就是說它們會引發(fā)嚴(yán)重漏洞;其余4款產(chǎn)品是C級即合格水平。換句話說，如果網(wǎng)絡(luò)上存在中間設(shè)備但不是Blue Coat ProxySG 6642，那么趁早刪除吧。

同樣，在來自12家公司的20款客戶端軟件產(chǎn)品中，只有兩款獲得A級水平：Avast的 AV 11 Windows版本而非Mac版本，以及Bullguard的Internet Security 16。10款產(chǎn)品是F級，余下的8款是C級。

因此美國國土安全部旗下的電腦應(yīng)急響應(yīng)小組在上周發(fā)出警告，這類軟件會削弱加密通信的 TLS 協(xié)議安全性。

為什么說一些錯誤工具會削弱網(wǎng)絡(luò)安全呢?客戶端和服務(wù)器在互聯(lián)網(wǎng)上的TLS和SSL加密通信是通過使用數(shù)字證書來創(chuàng)建身份鏈來完成。證書由受信任的第三方提供并且它會驗證你的連接是否跟受信任服務(wù)器連接。

因此為了運行，一臺攔截設(shè)備需要將自己受信任的證書發(fā)布給客戶端設(shè)備或者用戶需要不斷看到告警信息提示連接不安全。

瀏覽器和其它應(yīng)用程序使用這個證書來驗證加密連接，但這就產(chǎn)生兩個問題。首先，驗證網(wǎng)絡(luò)服務(wù)器的證書是不可能實現(xiàn)的，其次也是更重要的一點是，監(jiān)督產(chǎn)品跟網(wǎng)絡(luò)服務(wù)器通信的方式對于用戶來講是不可見的。換句話說，用戶只能確保自己跟攔截產(chǎn)品的連接是合法的，但無法知道其余的通信也就是跟網(wǎng)絡(luò)服務(wù)器的通信是否安全或者是否被攻陷。

結(jié)果，很多這種中間設(shè)備和攔截軟件組件本身的安全性很差，它們很多都沒有在重新加密并發(fā)送客戶端數(shù)據(jù)時沒有驗證服務(wù)器證書鏈。其中很多中間設(shè)備和攔截軟件組件在發(fā)送證書鏈驗證錯誤時不力，導(dǎo)致用戶對于可能存在的攻擊不明就里。

換句話說，檢查安全系統(tǒng)的工作削弱了它本應(yīng)該去檢查的安全性。就像有人把你家門敞開而在檢查鑰匙合不合適。那么解決方案是什么?CERT指出可以到badssl.com網(wǎng)站上驗證你的監(jiān)督產(chǎn)品的驗證工作是否有效。當(dāng)然，也可以查看SSL論文并確保不再使用被標(biāo)記為安全性差的產(chǎn)品。