一些HTTPS检测工具可能会削弱安全性

2022-02-18 13:46:23来源:

使用安全产品来检查HTTPS流量的公司可能无意中使他们的用户“加密的连接减去安全并将其暴露于中间人攻击,美国电脑紧急准备团队警告。

US-CERT是国土安全部门的打印,在最近的一项调查后发表了一个咨询,显示HTTPS检测产品DON“T镜像客户端和服务器之间原始连接的安全属性。

HTTPS检查检查来自HTTPS站点的加密流量,以确保它不会包含威胁或恶意软件。它通过拦截到HTTPS服务器的客户端连接来执行,以代表客户端建立连接,然后重新加密发送到客户端的流量,以不同的本地生成的证书。这样做的产品基本上充当了中间人的代理。

在典型的企业环境中,甚至可以多次拦截并重新加密HTTPS连接:在网关安全产品或数据泄漏预防系统和终端系统上,通过需要检查恶意软件的防病毒程序的终端系统。

问题是用户“浏览器不再可获得验证真实服务器证书,因为该任务均落入拦截代理。事实证明,在验证服务器证书时,安全产品非常糟糕。

谷歌,Mozilla,CloudFlare,密歇根大学,伊利诺伊大学,加州大学,加州大学,伯克利和国际计算机科学研究所最近进行了对HTTPS检验实践的调查。

他们发现,超过10%的HTTPS流量来自U.S.并达到CloudFlare的Content Carrantical网络正在被截获。与电子商务网站有6%的连接。

分析发现,32%的电子商务和54%的CloudFlare HTTPS连接被截获的CloudPlare变得更加安全,而不是直接连接到服务器的用户。

“令人疑惑地,不仅被截获的连接使用较弱的加密算法,而且为已知破碎的密码提供了10%至40%,这将允许有源中间攻击者稍后拦截,降级和解密连接,”研究人员在纸质中说。

原因是浏览器制造商已经长时间和正确的专业知识来了解TLS连接和证书验证的潜在怪癖。可以说是TLS的更好的客户端实现 - 用于HTTPS的加密协议 - 而不是现代浏览器中的协议。

安全产品供应商使用过时的TLS库,自定义它们甚至尝试重新实现某些协议功能,从而导致严重的漏洞。

US-Cert在其咨询中发出的另一个广泛的问题是许多HTTPS拦截产品Don“T正确验证服务器呈现的证书链。

“此外,证书链验证错误很少转发给客户端,导致客户端相信按照正确的服务器执行操作,”组织表示。

在Badssl网站上,组织可以检查他们的HTTPS检查产品是否验证了证书或允许不安全的密码。Fromys SSL Labs的客户端测试也可以检查一些已知的TLS漏洞和缺点。

Carnegie Mellon University的Cert协调中心发表了一个博客文章,了解有关HTTPS拦截的常见缺陷的更多信息,以及可能脆弱的产品列表。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章