US-CERT：企业监听HTTPS可导致安全风险

为了确保HTTPS连接安全，而部署HTTPS通信监听设备的企业需要注意了。美国国土安全部旗下计算机应急响应小组（US-CERT）现已向全美企业发出警告称，那些可监听HTTPS通信的网络安全产品反而会削弱TLS（安全传输层协议）协议的安全性，进而危及到整个企业网络系统的安全。

企业监听HTTPS或导致安全风险

通过TLS与SSL协议可加密客户端与服务器端的网络通信，它们利用分发的CA证书来验证服务器的身份，来建立可靠的网络访问连接，以确保客户端所连接的对象是经过验证的合法服务器。

HTTPS协议

然而一些企业为了防止不法黑客通过恶意软件蒙蔽HTTPS协议，将网络通信连接到恶意服务器上，便会部署可监听HTTPS通信的设备，来进行HTTPS监听。

其具体方法是通过在客户端与服务器端之间建立一个中间代理人，类似中间人攻击（man-in-the-middle）的手法，而这些可执行HTTPS监听的安全产品则会先拦截流量、检查流量内容，再重新建立连接。

可是现在US-CERT指出，上述架构的客户端系统只能验证自己与HTTPS监听产品之间的通信，而且必须借助监听设备来验证服务器的真伪。这时，如果这些监听设备不能执行恰当的验证或正确传达验证状态，就很可能让客户端有遭受中间人攻击的风险。

因此，US-CERT建议企业在计划部署HTTPS监听设备时，有必要仔细评估其利弊，同时采用其他的措施来切实确保端对端的网络通信安全。