為了確保HTTPS連接安全,而部署HTTPS通信監聽設備的企業需要注意了。美國國土安全部旗下電腦應急回應小組(US-CERT)現已向全美企業發出警告稱,那些可監聽HTTPS通信的網路安全產品反而會削弱TLS(安全傳輸層協定)協定的安全性,進而危及到整個企業網路系統的安全。
企業監聽HTTPS或導致安全風險
通過TLS與SSL協議可加密用戶端與伺服器端的網路通信,它們利用分發的CA證書來驗證伺服器的身份,來建立可靠的網路訪問連接,以確保用戶端所連接的物件是經過驗證的合法伺服器。
HTTPS協議
然而一些企業為了防止不法駭客通過惡意軟體蒙蔽HTTPS協定,將網路通信連接到惡意伺服器上,便會部署可監聽HTTPS通信的設備,來進行HTTPS監聽。
其具體方法是通過在用戶端與伺服器端之間建立一個中間代理人,類似中間人攻擊(man-in-the-middle)的手法,而這些可執行HTTPS監聽的安全產品則會先攔截流量、檢查流量內容,再重新建立連接。
可是現在US-CERT指出,上述架構的用戶端系統只能驗證自己與HTTPS監聽產品之間的通信,而且必須借助監聽設備來驗證伺服器的真偽。這時,如果這些監聽設備不能執行恰當的驗證或正確傳達驗證狀態,就很可能讓用戶端有遭受中間人攻擊的風險。
因此,US-CERT建議企業在計畫部署HTTPS監聽設備時,有必要仔細評估其利弊,同時採用其他的措施來切實確保端對端的網路通信安全。
