日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

美國計算機應急響應小組(US-CERT)警告：很多攔截HTTPS流量的安全產(chǎn)品都沒有很好地驗證證書。

創(chuàng)新互聯(lián)公司一直秉承“誠信做人，踏實做事”的原則，不欺瞞客戶，是我們最起碼的底線！ 以服務為基礎(chǔ)，以質(zhì)量求生存，以技術(shù)求發(fā)展，成交一個客戶多一個朋友！為您提供網(wǎng)站設計、成都網(wǎng)站制作、成都網(wǎng)頁設計、微信平臺小程序開發(fā)、成都網(wǎng)站開發(fā)、成都網(wǎng)站制作、成都軟件開發(fā)、app軟件開發(fā)公司是成都本地專業(yè)的網(wǎng)站建設和網(wǎng)站設計公司，等你一起來見證！

使用安全產(chǎn)品檢測HTTPS流量的公司，可能無法避免地弱化了其用戶加密連接的安全性，將用戶暴露給中間人攻擊。

US-CERT是美國國土安全部(DHS)下屬機構(gòu)，在最近的一次調(diào)查過后發(fā)布了一份咨詢公告，稱HTTPS檢測產(chǎn)品并不能完全反映出客戶端和服務器間原始連接的安全屬性。

HTTPS檢測會核對來自HTTPS站點的加密流量，確保不含有威脅或惡意軟件。該過程通過攔截客戶端到HTTPS服務器的連接來實現(xiàn)，會以客戶端的名義創(chuàng)建連接，然后用本地產(chǎn)生的證書對發(fā)送給客戶端的流量再次加密。做這項工作的產(chǎn)品基本上都相當于中間人代理。

典型企業(yè)環(huán)境中，HTTPS連接甚至能被攔截并重加密多次：在網(wǎng)絡邊界被網(wǎng)關(guān)安全產(chǎn)品或數(shù)據(jù)泄露預防系統(tǒng)攔截加密，在終端系統(tǒng)上被需要檢測此類流量中惡意軟件的反病毒程序攔截加密。

問題在于：由于任務落到了攔截代理身上，用戶瀏覽器便不再能夠驗證真正的服務器證書了。而實際上，安全產(chǎn)品在驗證服務器證書上表現(xiàn)特別糟糕。

最近，多家機構(gòu)的研究人員對HTTPS檢測實踐進行了調(diào)查。這些機構(gòu)包括谷歌、Mozilla、CloudFlare、密歇根大學、伊利諾伊大學香檳分校、加州大學、伯克利和國際計算機科學研究所。

他們發(fā)現(xiàn)，從美國連至CloudFlare內(nèi)容分發(fā)網(wǎng)絡的HTTPS流量中，超過10%都被攔截了;而去往電商網(wǎng)站的連接有6%被攔截。

分析發(fā)現(xiàn)，被攔截的HTTPS連接中，32%的電商流量和54%的CloudFlare流量，這比用戶直接連接服務器更不安全。

值得注意的是，被攔截連接不僅僅使用更弱的加密算法，其中10-40%支持的還是那些已知被攻破的密碼。這些會導致中間人攻擊之后的攔截、降級、甚至解密該連接。

原因在于，瀏覽器制造商具備長期且恰當?shù)膶I(yè)知識理解TLS連接和證書驗證的潛在怪癖?？梢哉f，再沒有比現(xiàn)代瀏覽器實現(xiàn)得更好的客戶端TLS(HTTPS采用的加密協(xié)議)了。

安全產(chǎn)品廠商使用過時的TLS庫，定制這些庫，甚至嘗試重新實現(xiàn)該協(xié)議的一些功能特性，造成了嚴重的漏洞。

US-CERT指出的另一個普遍問題是，很多HTTPS攔截產(chǎn)品沒能恰當?shù)仳炞C服務器提供的證書鏈。

“證書鏈驗證錯誤很少發(fā)送給客戶端，致使客戶端認為各項操作都是按照預期與正確的服務器進行的?！?/p>

BadSSL網(wǎng)站上，公司企業(yè)可以檢驗其HTTPS檢測產(chǎn)品是否不恰當?shù)仳炞C證書，或者允許了不安全密碼通行。來自 Qualys SSL Labs 的客戶端測試，同樣可以對某些已知TLS漏洞和缺陷進行檢測。

卡內(nèi)基梅隆大學CERT協(xié)調(diào)中心發(fā)表了博客文章，披露了HTTPS攔截常見陷阱的更多信息，以及可能有漏洞的產(chǎn)品名單。

當前標題：HTTPS檢測工具可能會弱化安全
本文URL：http://www.5511xx.com/article/cccjeoj.html