本文共 684 字，大约阅读时间需要 2 分钟。

美国计算机应急响应小组(US-CERT)近期发布了一份重要咨询公告，指出许多用于拦截HTTPS流量的安全产品在验证服务器证书方面存在严重问题，这种做法实际上削弱了用户连接的安全性，可能导致用户信息暴露给中间人攻击。

传统的HTTPS检测产品通过模拟客户端连接，拦截流量并用自定义证书重加密，这种做法本质上等同于成为中间人。然而，问题在于，用户浏览器原本用于验证服务器证书的功能被绕过，导致无法确保连接的真实性和安全性。研究发现，很多安全产品在验证服务器证书链时表现尤为糟糕，误报或忽略证书验证错误，使得客户端误以为连接是安全的。

最新调查显示，CloudFlare内容分发网络的HTTPS流量中超过10%被拦截，电商网站的连接拦截率高达6%。值得注意的是，被拦截的连接中32%的电商流量和54%的CloudFlare流量采用的是已知被攻破的加密算法，这些加密方案在中间人攻击后可能会被降级或解密，进一步削弱用户安全。

研究机构指出，部分安全产品使用过时的TLS库，并且试图定制这些库或重新实现协议功能，导致严重漏洞。US-CERT特别提到，许多HTTPS拦截产品未能恰当验证服务器提供的证书链，导致客户端误以为连接是安全的。BadSSL网站和Qualys SSL Labs等第三方工具可以帮助企业检测HTTPS检测产品是否存在证书验证问题或允许不安全密码。

卡内基梅隆大学CERT协调中心也发布了详细的HTTPS拦截常见陷阱和可能有漏洞的产品名单。这一问题的严重性不容忽视，企业在选择HTTPS检测工具时，必须确保产品能够正确验证服务器证书，并避免使用已知弱加密算法。

转载地址：http://puhfk.baihongyu.com/