US-CERT警告：企業監聽HTTPS反而可能使自己落入中間人攻擊風險

美國國土安全部旗下的電腦緊急應變小組（US-CERT）上周向全美企業提出警告 ，指稱那些可監聽HTTPS通訊的安全產品將會削弱TLS協定的安全性，危及位於相關產品之後的所有系統。

TLS與SSL協定可加密客戶端與伺服器端的網路通訊，它們利用憑證來建立身分鏈，以確保客戶端所通訊的對象是經過驗證的合法伺服器。而進行HTTPS監聽的方法則是在客戶端與伺服器端之間建立一個中間代理人，類似中間人攻擊（man-in-the-middle）的手法，這些可執行HTTPS監聽的安全產品會先攔截流量、檢查流量內容，再重建連結。

企業使用HTTPS監聽產品有許多可能的原因，例如用來檢查利用HTTPS傳輸來連結惡意伺服器的惡意軟體。

然而，US-CERT指出，此一架構的問題出在客戶端系統只能驗證自己與HTTPS監聽產品之間的通訊，必須仰賴監聽產品驗證伺服器的真偽，若這些監聽產品未能執行適當的驗證或正確傳達驗證狀態，就可能讓客戶端落入中間人攻擊的風險中。

因此，US-CERT建議企業在計畫導入HTTPS監聽產品時，必須仔細評估其利弊，同時採用其他的措施來確保端對端的通訊安全。