US
小唯 2017-03-20 14:35:36
示意图,与新闻事件无关。
美国国土安全部旗下的电脑紧急应变小组(US-CERT)上周向全美企业提出警告 ,指称那些可监听HTTPS通讯的安全产品将会削弱TLS协定的安全性,危及位于相关产品之后的所有系统。
TLS与SSL协定可加密客户端与伺服器端的网路通讯,它们利用凭证来建立身分链,以确保客户端所通讯的对象是经过验证的合法伺服器。而进行HTTPS监听的方法则是在客户端与伺服器端之间建立一个中间代理人,类似中间人攻击(man-in-the-middle)的手法,这些可执行HTTPS监听的安全产品会先拦截流量、检查流量内容,再重建连结。
企业使用HTTPS监听产品有许多可能的原因,例如用来检查利用HTTPS传输来连结恶意伺服器的恶意软体。
然而,US-CERT指出,此一架构的问题出在客户端系统只能验证自己与HTTPS监听产品之间的通讯,必须仰赖监听产品验证伺服器的真伪,若这些监听产品未能执行适当的验证或正确传达验证状态,就可能让客户端落入中间人攻击的风险中。
因此,US-CERT建议企业在计画导入HTTPS监听产品时,必须仔细评估其利弊,同时採用其他的措施来确保端对端的通讯安全。