US-CERT:企业监听HTTPS可导致安全风险

最新推荐文章于 2025-09-11 22:47:27 发布
最新推荐文章于 2025-09-11 22:47:27 发布
阅读量130 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/149990
美国国土安全部警告称,部分企业采用的HTTPS通信监听设备可能削弱TLS协议安全性,并增加中间人攻击的风险。建议企业在部署此类设备时需谨慎评估。

为了确保HTTPS连接安全,而部署HTTPS通信监听设备的企业需要注意了。美国国土安全部旗下计算机应急响应小组(US-CERT)现已向全美企业发出警告称,那些可监听HTTPS通信的网络安全产品反而会削弱TLS(安全传输层协议)协议的安全性,进而危及到整个企业网络系统的安全。

US-CERT:企业监听HTTPS或导致安全风险

  企业监听HTTPS或导致安全风险

通过TLS与SSL协议可加密客户端与服务器端的网络通信,它们利用分发的CA证书来验证服务器的身份,来建立可靠的网络访问连接,以确保客户端所连接的对象是经过验证的合法服务器。

US-CERT:企业监听HTTPS或导致安全风险

  HTTPS协议

然而一些企业为了防止不法黑客通过恶意软件蒙蔽HTTPS协议,将网络通信连接到恶意服务器上,便会部署可监听HTTPS通信的设备,来进行HTTPS监听。

其具体方法是通过在客户端与服务器端之间建立一个中间代理人,类似中间人攻击(man-in-the-middle)的手法,而这些可执行HTTPS监听的安全产品则会先拦截流量、检查流量内容,再重新建立连接。

可是现在US-CERT指出,上述架构的客户端系统只能验证自己与HTTPS监听产品之间的通信,而且必须借助监听设备来验证服务器的真伪。这时,如果这些监听设备不能执行恰当的验证或正确传达验证状态,就很可能让客户端有遭受中间人攻击的风险。

因此,US-CERT建议企业在计划部署HTTPS监听设备时


 


  

本文转自d1net(转载

Nginx(14)-HTTPS优化配置及典型问题
davidwkx的博客
11-16 1718
HTTPS是在 HTTP 协议的基础上使用 TLS/SSL 加密,其主要目标是提高数据传输的安全性。从HTTP2.0开始,HTTPS已经是网站的标准协议,很多开放平台非HTTPS不能访问。Nginx为HTTPS提供了强大的支持,且对应用服务器是完全透明的。
11、虚拟化与云计算环境的安全挑战及应对策略
k8l9m0n的博客
06-25 27
本文深入探讨了虚拟化与云计算环境中的多种安全挑战,包括管理通道的安全隐患、编排工具的应用风险、自动化工具拦截威胁以及资产识别与防护措施。通过技术示例和攻击场景分析,提出了多层次的安全应对策略,如深度防御机制、最小权限原则、定期审计和安全操作流程。文章旨在帮助读者全面了解云环境中的安全威胁,并提供实用的解决方案以增强系统防护能力。
App安全测评问题处理
dibu3564的博客
02-12 720
App安全测评问题处理 App安全测评问题分类 1.自身安全 权限信息-info.plist中权限字段访问 行为信息-访问相册、拨打电话 2.客户端数据存储安全 ==动态调试攻击风险== 第三方SDK检测 敏感词 3.二进制代码保护 代码未混淆风险 输入监听风险 调试日志函数调用风险 配置文件信息明文存储风险 动态库信息泄露风险 WebView组件跨域访问危险 数据库明文存储风...
Android静态安全检测 -> 敏感函数调用风险
4lwin博客
12-02 5521
敏感函数调用风险 一、API 【1】android.telephony.TelephonyManager.getNetworkOperator( )   获取运营商信息 【2】android.telephony.TelephonyManager.getDeviceId( )   获取设备信息 【3】android.telephony.TelephonyMan
Android 如何监听App的输入了那些内容
Lajos的博客
01-17 3742
监听手机上任意一个App都输入了哪类内容,比如像QQ聊天等。其实Android给我们提供了一个辅助类AccessibilityService
android 常见checklists
hackerie的博客
04-23 1112
1.App防止反编译 被反编译的暴露客户端逻辑,加密算法,密钥,等等 加固 2.java层代码源代码反编译风险 被反编译的暴露客户端逻辑,加密算法,密钥,等等 加固 ,混淆 3.so文件破解风险 导致核心代码泄漏。 so文件加固 4.篡改和二次打包风险 修改文件资源等,二次打包的添加病毒,广告,或者窃取支付密码,拦截短信等 资源文件混淆和校验签名的hash值 5.资源文件泄露风险 获取图片...
Android应用安全检测项目
苛学加记事
07-08 7565
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
CVE-2020-1938 :Apache Tomcat AJP 漏洞复现和分析
渗透测试研究中心
05-11 1756
一、漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件,将可能...
[更新1.0:EXP公开]CVE-2020-0618: 微软 SQL Server 报表服务远程代码执行漏洞通告
爱国小白帽
09-19 1794
360CERT [三六零CERT](javascript:void(0)???? 昨天 报告编号:B6-2020-091801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-18 0x01 更新概览 2020年09月18日,360CERT监测发现该漏洞利用脚本已公开。可造成 远程代码执行。本次更新标识该漏洞的利用工具公开,并可能在短时间内出现攻击态势。 0x02 漏洞简述 2020年02月16日, 360CERT对微软 2 月份安全更新中的 SQL Server Repor
云安全之k8s未授权漏洞总结
lza20001103的博客
04-07 1211
云安全之k8s未授权漏洞总结
NGINX配置高级技巧:如何优化HTTPS反向代理性能
![NGINX配置高级技巧:如何优化HTTPS反向代理性能]...文章不仅涵盖配置实战、性能调优方法、常见问题诊断,还探索了NGINX的进阶功能和安全性提升策略。最后,本文展望了NGI
CCIE重认证350-401
stqer的博客
01-04 3243
traffic policing: causes TCP retransmissions when traffic is dropped导致TCP重传时流量下降 introduces no delay and jitter引入无延迟和抖动 drops excessive traffic减少过多的流量 traffic shaping: buffers excessive traffic缓冲过多的流量 introduces delay and jitter引入延迟和抖动 applied on traffic t
【JDY-62模块安全性分析】:加密与数据保护,确保音频通信安全无忧
最后,结论与建议章节总结了JDY-62模块安全性的重要性,并提出了针对性的企业部署和内部数据保护建议。本文为提高音频通信安全性提供了详实的分析和实践指南。 # 关键字 音频通信安全;加密技术;数据保护;JDY-62...
【mkcert-v1.4.3快速入门】:跨域安全的本地解决方案轻松搭建
[【mkcert-v1.4.3快速入门】:跨域安全的本地解决方案轻松搭建](https://namecheap.simplekb.com/SiteContents/2-7C22D5236A4543EB827F3BD8936E153E/media/privatkey_2.png) # 摘要 mkcert-v1.4.3是一款功能强大的...
计算机⽹络及TCP⽹络应⽤程序开发
Darenm111的博客
09-07 1084
graph TDA[创建Socket对象] --> B[建立连接 connect]B --> C[发送数据 send]C --> D[关闭连接 close]网络基础:理解IP地址(定位设备)、端口(定位应用)、Socket(通信工具) 是网络编程的基石。协议选择:根据应用场景在可靠但慢的TCP和快速但不可靠的UDP之间做出权衡。TCP精髓:其可靠性源于复杂的机制(握手、挥手、确认、重传、控制),其开发流程围绕“建立连接->传输->关闭连接”展开。开发关键:严格遵循开发流程,深刻理解字节编码。
【计算机网络 | 第12篇】网络应用原理
在代码与逻辑的星河里,捡拾技术的微光
09-10 836
本文带你了解网络应用原理及其发展历程
Linux 防火墙 Iptables
最新发布
ZYMFZ的博客
09-11 889
高效稳定:基于内核工作,数据包过滤效率高,能稳定应对高并发网络场景。灵活可扩展:通过 “表 -- 规则” 的结构,可适配不同网络环境(如局域网共享上网、服务器发布),且支持丰富的扩展模块。易上手:相较于其他防火墙工具,命令逻辑清晰,学习成本较低,同时具备强大的定制能力。
Android网络之WIFI技术网络模型概述
STCNXPARM的博客
09-07 995
1、IEEE802家族IEEE802家族是由一些列局域网(Local area network,简称LAN)技术规范所组成的,802.11是其中之一。IEEE802规范的重心放在OSI模型的最下面两层,因为它们同时涵盖了物理层(physical,简称PHY)与数据链路层(data link)组件。2、为啥IEEE802重点是定义数据链路层和物理层?与OSI模型的关联?
打印机已联网,但打印机显示“未连接”,解决方案
qq_40230540的博客
09-08 451
在弹出来的窗口中,选择 “Standard TCP/IP Port”,然后点击 “新端口” (New Port…在 “打印机名或IP地址” 栏中,输入您刚才从打印机配置页上找到的IP地址(例如192.168.1.105)。找到您的打印机图标,右键点击它,选择 “打印机属性” (注意不是单纯的“属性”)。打印机已联网,电脑未正确指向打印机的IP地址,也会显示“未连接”,查看方式改为“大图标”或“小图标”,找到并点击 “设备和打印机”。如果无法重启,可以先选择 “停止”,等待几秒后,再选择 “启动”。
QR-CERT: 强化网络安全的开源PKI证书权威机构
它适用于那些需要在组织内部建立和管理证书基础设施的大型企业和公司。 ### 结合标签和文件压缩包信息 - **开源软件标签**:表明QR-CERT是开源的,用户可以根据开源协议使用、修改和分发该软件。 - **压缩包文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值