示意圖,與新聞事件無關。

美國國土安全部旗下的電腦緊急應變小組(US-CERT)上周向全美企業提出警告 ,指稱那些可監聽HTTPS通訊的安全產品將會削弱TLS協定的安全性,危及位於相關產品之後的所有系統。

TLS與SSL協定可加密客戶端與伺服器端的網路通訊,它們利用憑證來建立身分鏈,以確保客戶端所通訊的對象是經過驗證的合法伺服器。而進行HTTPS監聽的方法則是在客戶端與伺服器端之間建立一個中間代理人,類似中間人攻擊(man-in-the-middle)的手法,這些可執行HTTPS監聽的安全產品會先攔截流量、檢查流量內容,再重建連結。

企業使用HTTPS監聽產品有許多可能的原因,例如用來檢查利用HTTPS傳輸來連結惡意伺服器的惡意軟體。

然而,US-CERT指出,此一架構的問題出在客戶端系統只能驗證自己與HTTPS監聽產品之間的通訊,必須仰賴監聽產品驗證伺服器的真偽,若這些監聽產品未能執行適當的驗證或正確傳達驗證狀態,就可能讓客戶端落入中間人攻擊的風險中。

因此,US-CERT建議企業在計畫導入HTTPS監聽產品時,必須仔細評估其利弊,同時採用其他的措施來確保端對端的通訊安全。


Advertisement

更多 iThome相關內容