何为SSL检查？它是如何工作的？

所有你需要知道的关于SSL检查的事，有时它也被称为HTTPS拦截。

SSL检查或TLS/HTTPS拦截是一个令人着迷的概念，因为它所引起的褒贬不一。有些人认为SSL检查是一个荒谬的想法，而有些人则坚定地支持它。这其中似乎没有什么中间地带。这就有点像永远不会完结的“在披萨上放菠萝”的辩论。就我个人而言，我无法忍受菠萝盯着我看，同时又舒服地躺在比萨饼上。但让我们不要让这种情况发生，因为我们都知道它是如何结束的——呃，不会结束。

相反，让我们来揭开SSL检查的真面目，看看它是如何工作的。

什么是SSL检查？

SSL检查或TLS/HTTPS拦截是在客户端和服务器之间拦截受SSL/TLS加密的网络通讯的过程。拦截可以在发送者和接收者之间执行，反之亦然（接收者到发送者）——它与在中间人攻击中所使用的技巧相同，只不过后者没有得到双方的同意。

现在，乍看之下，SSL检查似乎与HTTPS/SSL的创建目的相背离。然而，事情并没有那么简单。

我们都知道SSL/TLS加密能够帮助我们保护敏感信息（如密码和信用卡信息）。每个字节的数据都会被转换成破译不出的格式，因此它可以保护我们不被窃听，数据不会受到篡改。

然而，事情不会总是一帆风顺。

与你的合法信息一道，恶意内容也有可能隐藏在加密流量中。而且，因为它是加密的，所以常见的安全机制不会注意到它，这就意味着它可以造成它所预期的伤害。当下，基于SSL的恶意软件攻击已经成为了一件常见的事情，在大约37%的恶意软件中，都使用到了HTTPS。

SSL检查的意图是检查和过滤潜在的、诸如恶意软件等的危险内容。这类检查或拦截被称作SSL全检查或SSL深度检查。它可以让你扫描反病毒程序，过滤web，过滤电子邮件等等。拦截和检查是由一个位于中间的、经常被称为“中间设备”的拦截设备来完成的。

SSL检查的工作原理什么？

简单来说，SSL检查或HTTPS拦截是一种中间人攻击，用来过滤恶意内容。正如我们所看到的，SSL检查或TLS拦截是通过拦截设备来进行的。这个拦截器位于客户端和服务器之间，所有流量都会通过它。

当连接是通过HTTPS进行的时，拦截器会拦截所有的流量，解码并扫描它们。首先，拦截器会建立一个与web服务器的SSL连接。此时，它会解码并检查数据。一旦扫描完成，它就会创建另一个SSL连接—此次是与客户端（浏览器）。这样，数据就会以加密格式到达客户端——最初想要的方式。

下面是入站流量的SSL检查过程的概述：

• 
  
• 首先，中间设备会拦截到来的流量，并解码客户端和服务器之间的HTTPS会话。
• 
  
• 一旦解码了流量，中间设备就会通过扫描、网页过滤等对内容进行检查。
• 
  
• 然后，拦截器会对流量进行加密并将其发送到目的地，在这种情况下，是web服务器。
• 
  

出站流量的SSL检查方式与入站流量几乎完全相同。以下是示意图：

表现不佳的SSL检查会降低安全性

2017年，一项由一大群学者和专业人士展开的研究表明，SSL检查弊大于利。该团队成员包括诸如Zakir Durumeric、Zane Ma、Drew Springall、Elie Bursztein、Nick Sullivan（Cloudflare密码学主管）和Richard Barnes（网络安全研究小组）等的学者和专业人士。

该团队分析了近80个SSL/TLS握手，对观察到的连接数据进行了比较，以确定拦截器桥接服务器和客户机的时间。他们发现在观察到的连接中，高达10.9%的连接都被拦截了。

这对那些由HTTPS连接提供的真正的隐私有着巨大的影响。但更重要的问题是，部分拦截产品严重削弱了HTTPS，因为它们使用了过时的加密技术和不能实现的基本功能。

研究显示，在通过网络中间设备的流量中，有62%削弱了安全性，而且58%的中间设备连接有严重的安全漏洞。他们还调查了流行的反病毒和企业代理服务，发现几乎它们中的所有都降低了连接安全性，而且许多还引入了安全漏洞。

虽然有一种方法可以安全地执行HTTPS检查，并且没有太多的延迟，但是表现不佳的SSL拦截是一个问题。

结语

从企业安全的角度来看，SSL检查从表面上看来不错。而且如果执行正确，它还可以防止大量的破坏。但是，正如我们所看到的，这并不总是发生。

大部分的责任应当归咎于中间设备制造商使用了过时的或不安全的SSL/TLS配置。然后，当然，不同形式的人类元素也总是存在风险。

当下，SSL检查可能弊大于利，这就是为什么在接下来的几个月里，我们将深入研究这种实践，探索在不牺牲安全性和性能的情况下，能够安全地对HTTPS流量进行检查的最佳方法和实践。