Web安全网关如何分析SSL加密流量？

Question

由于HTTPS流量是在传输中加密的，那么web安全网关如何分析它呢？

Answer 1

声称能够过滤SSL加密通信的产品通常是通过执行中间人攻击来实现的，就像主动攻击者一样。“安全产品”位于Web代理上，通过该代理执行连接。它拦截流，并在运行时生成一个具有目标站点名称的自定义证书；客户端有效地使用代理而不是与目标站点建立SSL隧道。同时，代理连接到目标站点，并向两个方向转发数据。

这只能是因为自动生成的证书相对于代理控制的特定证书颁发机构进行签名，并作为“根CA”安装在客户端计算机中的相关存储中。这要求安装代理的人对客户端系统具有管理控制。

除了这类“安全产品”之外，在声称“加速互联网”的产品中还可以找到这样一个机构MitM设置(即，他们获取数据，压缩数据，并将其发送到一个特定网关，该网关对其进行解压缩)。

请注意，这样的系统不能使用经过双身份验证的SSL连接(客户端也有证书的那种)：代理不能将客户端生成的签名转换为将使服务器信服的签名(因为在客户机签名的数据中，客户端看到的是服务器证书，即代理自动生成的证书)。

另一种分析SSL加密通信量的方法，不是在客户端，而是在服务器端，是拥有服务器私钥副本的产品，并确保服务器不使用"DHE“密码套件。在这种情况下，只要获取数据包的副本就可以破译隧道。当然，这是为了连接到一个特定的服务器，它需要与所述服务器进行某种协作(毕竟，服务器私钥对服务器是私有的)。