原标题：US

示意图，与新闻事件无关。

美国国土安全部旗下的电脑紧急应变小组（US-CERT）上周向全美企业提出警告 ，指称那些可监听HTTPS通讯的安全产品将会削弱TLS协定的安全性，危及位于相关产品之后的所有系统。

TLS与SSL协定可加密客户端与伺服器端的网路通讯，它们利用凭证来建立身分链，以确保客户端所通讯的对象是经过验证的合法伺服器。而进行HTTPS监听的方法则是在客户端与伺服器端之间建立一个中间代理人，类似中间人攻击（man-in-the-middle）的手法，这些可执行HTTPS监听的安全产品会先拦截流量、检查流量内容，再重建连结。

企业使用HTTPS监听产品有许多可能的原因，例如用来检查利用HTTPS传输来连结恶意伺服器的恶意软体。

然而，US-CERT指出，此一架构的问题出在客户端系统只能验证自己与HTTPS监听产品之间的通讯，必须仰赖监听产品验证伺服器的真伪，若这些监听产品未能执行适当的验证或正确传达验证状态，就可能让客户端落入中间人攻击的风险中。

因此，US-CERT建议企业在计画导入HTTPS监听产品时，必须仔细评估其利弊，同时採用其他的措施来确保端对端的通讯安全。

tags：

上一篇  下一篇