【TechTarget中国原创】企业常常有正当的理由截获加密的网络连接。不幸的是，黑客可以用相同的方法接入安全连接，这通常是因为终端的脆弱性。

　　在本文中，我们将研究企业和黑客如何拦截用传输层安全（TLS）协议或者其前身——加密套接字协议层（SSL）——加密的网络连接。

　　数字证书——通常与TLS / SSL配合使用——只是带有数字签名用于描述身份的一小块数据——比如一个组织的名称和网址。签名是一个基于证书内容和签名者的密钥的复杂的数学运算。如果证书中的值在传输中改变，数字签名将不匹配，于是浏览器将显示错误信息。

　　你怎么知道一个数字证书真的是你所以为的人所拥有？这一切都基于信任链（chain of trust）。例如,当你去Alice的网站，她向你提供她的证书。Alice的证书已得到她的朋友Bob的确认和签署。反过来，Bob的证书已得到确认并由他的朋友Charlie签署。Charlie也是你的好朋友，你很自然地信任他。在这种情况下，Charlie是作为我们的公钥基础设施（PKI）的根（root）认证中心（CA）。当你看到Alice的核查证书链上Charlie的签名，你就会相信这的确是Alice。

　　在现实生活中， Web浏览器拥有预安装的——比如网络基础设施公司VeriSign——受信根证书颁发机构的证书。你的Web浏览器会自动信任被预安装的根证书颁发机构的数字证书。但是，黑客可以利用这种信任。

　　数字证书有多值得信赖？

　　没有什么东西是完美的——即使是受信的根证书颁发机构。 2001年，VeriSign错误地”给一个谎称是微软雇员的人发出代码签名数字证书”（MS01-017）。根据微软安全公告，”拥有使用属于微软的密钥来签署可执行内容的能力，无疑非常有利于那些想要说服用户同意代码执行的恶意用户。该证书可用于签署程序、ActiveX控件、微软Office宏和其他可执行的内容。

　　数字签名也可以是伪造的。去年，在柏林的Chaos通信大会上，一组研究人员揭示了可以用MD5加密算法来创造一种”无赖”证书的缺陷，而该证书拥有有效根证书颁发机构的签名。此证书从未被受信根证书颁发机构认证过，但由于它拥有一个有效的签名，它将被所有常见的浏览器信任。

　　SSL拦截工具

　　更常见的情况是，攻击者可以使用凭空造出来的证书和中间人攻击技术，绕过TLS/SSL连接。

　　企业经常拦截的TLS / SSL连接。为什么？想象一下，你是一个在工作时检查基于网络的个人邮箱的公司雇员。你的公司会有强烈的动机窥视你的数据流，以确保你没有泄露私密数据或者错误的下载病毒。企业经常要检查所有进出其网络的数据流，以防止恶意软件感染并保护他们的私密数据。

　　企业常常使用SSL代理（如Blue Coat Systems公司的ProxySG），来破解TLS/SSl连接和监视雇员的数据流量。SSL代理可以截取私人电脑和外面世界的数据流。当用户访问一个”安全”的网站，SSL代理提取真正的Web服务器证书，并在代理服务器和网络服务器之间建立一个合法的TLS/SSL连接。然后，代理工具凭空制作一个虚假的证书，这个证书类似于网络服务器的证书。它提供这个假数字证书给用户，并在用户的浏览器和网络代理之间建立另一个TLS/SSL会话。用户可能会收到弹出的错误信息（点击它，可以让它消失），因为假数字证书不受信任。当然，如果企业花时间为用户网络浏览器引入代理证书为受信根证书，那么用户完全不会看到错误的消息。而最终的结果会是什么呢？在用户的计算机和代理之间有一个”安全的”TLS / SSL会话，以及另一个在代理和网络服务器之间的”安全的”TLS/SSL会话。作为代理，个人信息可以被作为纯文本检查，这样公司就能够自动搜索流量中特定关键字或屏蔽其中的恶意代码。

　　不幸的是，攻击者可以使用和公司一样的技术拦截SSL连接。一个特别自由、公开的工具使这样做很轻松。因为有了企业TLS/SSL拦截工具，攻击者可以利用这些工具来自动连接到真正的网络服务器、捕获证书信息，并用同样的信息凭空生成一个新的证书。随后提供新证书给用户，并建立一个SSL连接。在这个以后，用户的计算机和黑客之间建立起了一个”安全的”SSL会话，以及另一个在黑客和网络服务器之间的”安全的”SSL会话。其他类似的工具完全移除了客户的SSL连接，并使用社会工程技术（比如锁图标（lock icons））来欺骗客户，使他以为连接是加密的。

　　用户可以做什么来防止SSL拦截攻击？这里有四个关键策略：

　　始终使用受信任的计算机访问有价值的信息的网站。如果你的计算机不受信任或曾受到过危害，那么有人可能在你的网络浏览器安装了非法的信任证书。

　　考虑使用完整检查或回滚的软件，检测并消除那些未经授权的、对受信任的证书颁发机构列表的更改。

　　不要接受非信任证书。如果可能的话，配置用户的浏览器，从而自动拒绝不受信任的证书。

　　在点击前先想想。请记住，即使是受信任的证书管理机构也会犯错误。对员工和家庭用户进行培训，让他们学会谨慎地访问网站。

　　TLS / SSL就像一个很好的坚固的小玩意（two-by-four）。你能使用它来建立一个安全的基础设施吗？能。单就它自身而言是一个安全的基础设施吗？不是。

　　围绕SSL拦截，整个行业在进步。企业和执法者，以及黑客都一样希望能够获取加密数据流的信息，所以终端对一个更强的保护措施的需求是很复杂的。然而，只要注意细节，企业和家庭用户可以检测并避免TLS / SSL拦截和迂回（bypass）攻击。