一些HTTPS检测工具可能会削弱安全性

使用安全产品来检查HTTPS流量的公司可能无意中使他们的用户“加密的连接减去安全并将其暴露于中间人攻击，美国电脑紧急准备团队警告。

US-CERT是国土安全部门的打印，在最近的一项调查后发表了一个咨询，显示HTTPS检测产品DON“T镜像客户端和服务器之间原始连接的安全属性。

HTTPS检查检查来自HTTPS站点的加密流量，以确保它不会包含威胁或恶意软件。它通过拦截到HTTPS服务器的客户端连接来执行，以代表客户端建立连接，然后重新加密发送到客户端的流量，以不同的本地生成的证书。这样做的产品基本上充当了中间人的代理。

在典型的企业环境中，甚至可以多次拦截并重新加密HTTPS连接：在网关安全产品或数据泄漏预防系统和终端系统上，通过需要检查恶意软件的防病毒程序的终端系统。

问题是用户“浏览器不再可获得验证真实服务器证书，因为该任务均落入拦截代理。事实证明，在验证服务器证书时，安全产品非常糟糕。

谷歌，Mozilla，CloudFlare，密歇根大学，伊利诺伊大学，加州大学，加州大学，伯克利和国际计算机科学研究所最近进行了对HTTPS检验实践的调查。

他们发现，超过10％的HTTPS流量来自U.S.并达到CloudFlare的Content Carrantical网络正在被截获。与电子商务网站有6％的连接。

分析发现，32％的电子商务和54％的CloudFlare HTTPS连接被截获的CloudPlare变得更加安全，而不是直接连接到服务器的用户。

“令人疑惑地，不仅被截获的连接使用较弱的加密算法，而且为已知破碎的密码提供了10％至40％，这将允许有源中间攻击者稍后拦截，降级和解密连接，”研究人员在纸质中说。

原因是浏览器制造商已经长时间和正确的专业知识来了解TLS连接和证书验证的潜在怪癖。可以说是TLS的更好的客户端实现 - 用于HTTPS的加密协议 - 而不是现代浏览器中的协议。

安全产品供应商使用过时的TLS库，自定义它们甚至尝试重新实现某些协议功能，从而导致严重的漏洞。

US-Cert在其咨询中发出的另一个广泛的问题是许多HTTPS拦截产品Don“T正确验证服务器呈现的证书链。

“此外，证书链验证错误很少转发给客户端，导致客户端相信按照正确的服务器执行操作，”组织表示。

在Badssl网站上，组织可以检查他们的HTTPS检查产品是否验证了证书或允许不安全的密码。Fromys SSL Labs的客户端测试也可以检查一些已知的TLS漏洞和缺点。

Carnegie Mellon University的Cert协调中心发表了一个博客文章，了解有关HTTPS拦截的常见缺陷的更多信息，以及可能脆弱的产品列表。