HTTPS檢測工具可能會弱化安全

美國計算機應急響應小組(us-cert)警告：很多攔截https流量的安全產品都沒有很好地驗證證書。

使用安全產品檢測https流量的公司，可能無法避免地弱化了其使用者加密連線的安全性，將使用者暴露給中間人攻擊。

us-cert是美國國土安全部(dhs)下屬機構，在最近的一次調查過後發布了乙份諮詢公告，稱https檢測產品並不能完全反映出客戶端和伺服器間原始連線的安全屬性。

https檢測會核對來自https站點的加密流量，確保不含有威脅或惡意軟體。該過程通過攔截客戶端到https伺服器的連線來實現，會以客戶端的名義建立連線，然後用本地產生的證書對傳送給客戶端的流量再次加密。做這項工作的產品基本上都相當於中間人**。

典型企業環境中，https連線甚至能被攔截並重加密多次：在網路邊界被閘道器安全產品或資料洩露預防系統攔截加密，在終端系統上被需要檢測此類流量中惡意軟體的反病毒程式攔截加密。

問題在於：由於任務落到了攔截**身上，使用者瀏覽器便不再能夠驗證真正的伺服器證書了。而實際上，安全產品在驗證伺服器證書上表現特別糟糕。

最近，多家機構的研究人員對https檢測實踐進行了調查。這些機構包括谷歌、mozilla、cloudflare、密西根大學、伊利諾伊大學香檳分校、加州大學、伯克利和國際電腦科學研究所。

他們發現，從美國連至cloudflare內容分發網路的https流量中，超過10%都被攔截了；而去往電商**的連線有6%被攔截。

分析發現，被攔截的https連線中，32%的電商流量和54%的cloudflare流量，這比使用者直接連線伺服器更不安全。

值得注意的是，被攔截連線不僅僅使用更弱的加密演算法，其中10-40%支援的還是那些已知被攻破的密碼。這些會導致中間人攻擊之後的攔截、降級、甚至解密該連線。

原因在於，瀏覽器製造商具備長期且恰當的專業知識理解tls連線和證書驗證的潛在怪癖。可以說，再沒有比現代瀏覽器實現得更好的客戶端tls(https採用的加密協議)了。

安全產品廠商使用過時的tls庫，定製這些庫，甚至嘗試重新實現該協議的一些功能特性，造成了嚴重的漏洞。

us-cert指出的另乙個普遍問題是，很多https攔截產品沒能恰當地驗證伺服器提供的證書鏈。

「證書鏈驗證錯誤很少傳送給客戶端，致使客戶端認為各項操作都是按照預期與正確的伺服器進行的。」

badssl**上，公司企業可以檢驗其https檢測產品是否不恰當地驗證證書，或者允許了不安全密碼通行。來自 qualys ssl labs 的客戶端測試，同樣可以對某些已知tls漏洞和缺陷進行檢測。