所有你需要知道的關(guān)于SSL檢查的事，有時它也被稱為HTTPS攔截。

SSL檢查或TLS/HTTPS攔截是一個令人著迷的概念，因為它所引起的褒貶不一。有些人認為SSL檢查是一個荒謬的想法，而有些人則堅定地支持它。這其中似乎沒有什么中間地帶。這就有點像永遠不會完結(jié)的“在披薩上放菠蘿”的辯論。就我個人而言，我無法忍受菠蘿盯著我看，同時又舒服地躺在比薩餅上。但讓我們不要讓這種情況發(fā)生，因為我們都知道它是如何結(jié)束的——呃，不會結(jié)束。

相反，讓我們來揭開SSL檢查的真面目，看看它是如何工作的。

什么是SSL檢查？

SSL檢查或TLS/HTTPS攔截是在客戶端和服務器之間攔截受SSL/TLS加密的網(wǎng)絡(luò)通訊的過程。攔截可以在發(fā)送者和接收者之間執(zhí)行，反之亦然（接收者到發(fā)送者）——它與在中間人攻擊中所使用的技巧相同，只不過后者沒有得到雙方的同意。

現(xiàn)在，乍看之下，SSL檢查似乎與HTTPS/SSL的創(chuàng)建目的相背離。然而，事情并沒有那么簡單。

我們都知道SSL/TLS加密能夠幫助我們保護敏感信息（如密碼和信用卡信息）。每個字節(jié)的數(shù)據(jù)都會被轉(zhuǎn)換成破譯不出的格式，因此它可以保護我們不被竊聽，數(shù)據(jù)不會受到篡改。

然而，事情不會總是一帆風順。

與你的合法信息一道，惡意內(nèi)容也有可能隱藏在加密流量中。而且，因為它是加密的，所以常見的安全機制不會注意到它，這就意味著它可以造成它所預期的傷害。當下，基于SSL的惡意軟件攻擊已經(jīng)成為了一件常見的事情，在大約37%的惡意軟件中，都使用到了HTTPS。

SSL檢查的意圖是檢查和過濾潛在的、諸如惡意軟件等的危險內(nèi)容。這類檢查或攔截被稱作SSL全檢查或SSL深度檢查。它可以讓你掃描反病毒程序，過濾web，過濾電子郵件等等。攔截和檢查是由一個位于中間的、經(jīng)常被稱為“中間設(shè)備”的攔截設(shè)備來完成的。

SSL檢查的工作原理什么？

簡單來說，SSL檢查或HTTPS攔截是一種中間人攻擊，用來過濾惡意內(nèi)容。正如我們所看到的，SSL檢查或TLS攔截是通過攔截設(shè)備來進行的。這個攔截器位于客戶端和服務器之間，所有流量都會通過它。

當連接是通過HTTPS進行的時，攔截器會攔截所有的流量，解碼并掃描它們。首先，攔截器會建立一個與web服務器的SSL連接。此時，它會解碼并檢查數(shù)據(jù)。一旦掃描完成，它就會創(chuàng)建另一個SSL連接—此次是與客戶端（瀏覽器）。這樣，數(shù)據(jù)就會以加密格式到達客戶端——最初想要的方式。

下面是入站流量的SSL檢查過程的概述：

• 
  
• 首先，中間設(shè)備會攔截到來的流量，并解碼客戶端和服務器之間的HTTPS會話。
• 
  
• 一旦解碼了流量，中間設(shè)備就會通過掃描、網(wǎng)頁過濾等對內(nèi)容進行檢查。
• 
  
• 然后，攔截器會對流量進行加密并將其發(fā)送到目的地，在這種情況下，是web服務器。
• 
  

出站流量的SSL檢查方式與入站流量幾乎完全相同。以下是示意圖：

表現(xiàn)不佳的SSL檢查會降低安全性

2017年，一項由一大群學者和專業(yè)人士展開的研究表明，SSL檢查弊大于利。該團隊成員包括諸如Zakir Durumeric、Zane Ma、Drew Springall、Elie Bursztein、Nick Sullivan（Cloudflare密碼學主管）和Richard Barnes（網(wǎng)絡(luò)安全研究小組）等的學者和專業(yè)人士。

該團隊分析了近80個SSL/TLS握手，對觀察到的連接數(shù)據(jù)進行了比較，以確定攔截器橋接服務器和客戶機的時間。他們發(fā)現(xiàn)在觀察到的連接中，高達10.9%的連接都被攔截了。

這對那些由HTTPS連接提供的真正的隱私有著巨大的影響。但更重要的問題是，部分攔截產(chǎn)品嚴重削弱了HTTPS，因為它們使用了過時的加密技術(shù)和不能實現(xiàn)的基本功能。

研究顯示，在通過網(wǎng)絡(luò)中間設(shè)備的流量中，有62%削弱了安全性，而且58%的中間設(shè)備連接有嚴重的安全漏洞。他們還調(diào)查了流行的反病毒和企業(yè)代理服務，發(fā)現(xiàn)幾乎它們中的所有都降低了連接安全性，而且許多還引入了安全漏洞。

雖然有一種方法可以安全地執(zhí)行HTTPS檢查，并且沒有太多的延遲，但是表現(xiàn)不佳的SSL攔截是一個問題。

結(jié)語

從企業(yè)安全的角度來看，SSL檢查從表面上看來不錯。而且如果執(zhí)行正確，它還可以防止大量的破壞。但是，正如我們所看到的，這并不總是發(fā)生。

大部分的責任應當歸咎于中間設(shè)備制造商使用了過時的或不安全的SSL/TLS配置。然后，當然，不同形式的人類元素也總是存在風險。

當下，SSL檢查可能弊大于利，這就是為什么在接下來的幾個月里，我們將深入研究這種實踐，探索在不犧牲安全性和性能的情況下，能夠安全地對HTTPS流量進行檢查的最佳方法和實踐。