为了确保HTTPS连接安全,而部署HTTPS通信监听设备的企业需要注意了。美国国土安全部旗下计算机应急响应小组(US-CERT)现已向全美企业发出警告称,那些可监听HTTPS通信的网络安全产品反而会削弱TLS(安全传输层协议)协议的安全性,进而危及到整个企业网络系统的安全。
企业监听HTTPS或导致安全风险
通过TLS与SSL协议可加密客户端与服务器端的网络通信,它们利用分发的CA证书来验证服务器的身份,来建立可靠的网络访问连接,以确保客户端所连接的对象是经过验证的合法服务器。
HTTPS协议
然而一些企业为了防止不法黑客通过恶意软件蒙蔽HTTPS协议,将网络通信连接到恶意服务器上,便会部署可监听HTTPS通信的设备,来进行HTTPS监听。
其具体方法是通过在客户端与服务器端之间建立一个中间代理人,类似中间人攻击(man-in-the-middle)的手法,而这些可执行HTTPS监听的安全产品则会先拦截流量、检查流量内容,再重新建立连接。
可是现在US-CERT指出,上述架构的客户端系统只能验证自己与HTTPS监听产品之间的通信,而且必须借助监听设备来验证服务器的真伪。这时,如果这些监听设备不能执行恰当的验证或正确传达验证状态,就很可能让客户端有遭受中间人攻击的风险。
因此,US-CERT建议企业在计划部署HTTPS监听设备时
本文转自d1net(转载
