笔者认为,安全厂商添加HTTPS检查功能的初衷是为了进行安全检查,想要像检查HTTP网页一样对内容进行检测,防止通信过程中的安全风险。现如今使用HTTPS的网站越来越多,浏览器厂商也在呼吁网站使用HTTPS协议,相关的证书的成本也在降低。
另一方面,HTTPS中的恶意流量也逐渐增多,甚至一些钓鱼网站也使用了HTTPS协议。而黑客窃取HTTPS证书自行签署网站证书,或者入侵HTTPS网站也是没有可能。从这个意义上说,针对HTTPS内容的检查十分必要。
2015年11月黑客窃取了世界银行的SSL证书搭建针对PayPal的钓鱼网站
但现实中,HTTPS检查却引入了新的安全问题,厂商对证书验证的疏忽、使用了存在问题的库都是产生问题的原因。整个事件带给我们的启示是,即便是安全厂商出品的安全产品也有可能存在安全问题,厂商在上线产品时应该进行严格的测试。
参考来源HTTPS Interception Weakens TLS Security | US-CERT
CERT Tapioca | Vulnerability Analysis | The CERT Division – CERT. org
US-CERT’s Warning on SSL Interception vs. Security is a False Dichotomy | SecurityWeek.Com