何为SSL检查?它是如何工作的?

所有你需要知道的关于SSL检查的事,有时它也被称为HTTPS拦截。

SSL检查或TLS/HTTPS拦截是一个令人着迷的概念,因为它所引起的褒贬不一。有些人认为SSL检查是一个荒谬的想法,而有些人则坚定地支持它。这其中似乎没有什么中间地带。这就有点像永远不会完结的“在披萨上放菠萝”的辩论。就我个人而言,我无法忍受菠萝盯着我看,同时又舒服地躺在比萨饼上。但让我们不要让这种情况发生,因为我们都知道它是如何结束的——呃,不会结束。

相反,让我们来揭开SSL检查的真面目,看看它是如何工作的。

什么是SSL检查?

SSL检查或TLS/HTTPS拦截是在客户端和服务器之间拦截受SSL/TLS加密的网络通讯的过程。拦截可以在发送者和接收者之间执行,反之亦然(接收者到发送者)——它与在中间人攻击中所使用的技巧相同,只不过后者没有得到双方的同意。

现在,乍看之下,SSL检查似乎与HTTPS/SSL的创建目的相背离。然而,事情并没有那么简单。

我们都知道SSL/TLS加密能够帮助我们保护敏感信息(如密码和信用卡信息)。每个字节的数据都会被转换成破译不出的格式,因此它可以保护我们不被窃听,数据不会受到篡改。

然而,事情不会总是一帆风顺。

与你的合法信息一道,恶意内容也有可能隐藏在加密流量中。而且,因为它是加密的,所以常见的安全机制不会注意到它,这就意味着它可以造成它所预期的伤害。当下,基于SSL的恶意软件攻击已经成为了一件常见的事情,在大约37%的恶意软件中,都使用到了HTTPS。

SSL检查的意图是检查和过滤潜在的、诸如恶意软件等的危险内容。这类检查或拦截被称作SSL全检查或SSL深度检查。它可以让你扫描反病毒程序,过滤web,过滤电子邮件等等。拦截和检查是由一个位于中间的、经常被称为“中间设备”的拦截设备来完成的。

SSL检查的工作原理什么?

简单来说,SSL检查或HTTPS拦截是一种中间人攻击,用来过滤恶意内容。正如我们所看到的,SSL检查或TLS拦截是通过拦截设备来进行的。这个拦截器位于客户端和服务器之间,所有流量都会通过它。

当连接是通过HTTPS进行的时,拦截器会拦截所有的流量,解码并扫描它们。首先,拦截器会建立一个与web服务器的SSL连接。此时,它会解码并检查数据。一旦扫描完成,它就会创建另一个SSL连接—此次是与客户端(浏览器)。这样,数据就会以加密格式到达客户端——最初想要的方式。

下面是入站流量的SSL检查过程的概述:

  • 首先,中间设备会拦截到来的流量,并解码客户端和服务器之间的HTTPS会话。
  • 一旦解码了流量,中间设备就会通过扫描、网页过滤等对内容进行检查。
  • 然后,拦截器会对流量进行加密并将其发送到目的地,在这种情况下,是web服务器。

出站流量的SSL检查方式与入站流量几乎完全相同。以下是示意图:

表现不佳的SSL检查会降低安全性

2017年,一项由一大群学者和专业人士展开的研究表明,SSL检查弊大于利。该团队成员包括诸如Zakir Durumeric、Zane Ma、Drew Springall、Elie Bursztein、Nick Sullivan(Cloudflare密码学主管)和Richard Barnes(网络安全研究小组)等的学者和专业人士。

该团队分析了近80个SSL/TLS握手,对观察到的连接数据进行了比较,以确定拦截器桥接服务器和客户机的时间。他们发现在观察到的连接中,高达10.9%的连接都被拦截了。

这对那些由HTTPS连接提供的真正的隐私有着巨大的影响。但更重要的问题是,部分拦截产品严重削弱了HTTPS,因为它们使用了过时的加密技术和不能实现的基本功能。

研究显示,在通过网络中间设备的流量中,有62%削弱了安全性,而且58%的中间设备连接有严重的安全漏洞。他们还调查了流行的反病毒和企业代理服务,发现几乎它们中的所有都降低了连接安全性,而且许多还引入了安全漏洞。

虽然有一种方法可以安全地执行HTTPS检查,并且没有太多的延迟,但是表现不佳的SSL拦截是一个问题。

结语

从企业安全的角度来看,SSL检查从表面上看来不错。而且如果执行正确,它还可以防止大量的破坏。但是,正如我们所看到的,这并不总是发生。

大部分的责任应当归咎于中间设备制造商使用了过时的或不安全的SSL/TLS配置。然后,当然,不同形式的人类元素也总是存在风险。

当下,SSL检查可能弊大于利,这就是为什么在接下来的几个月里,我们将深入研究这种实践,探索在不牺牲安全性和性能的情况下,能够安全地对HTTPS流量进行检查的最佳方法和实践。

提交
还没有评论,快来抢沙发吧!
售前
支持
代理
合作
售后
支持