我正在研究 SSL 检查的工作原理。我对其工作原理有一些大致的了解,但我无法弄清楚几个问题。
当客户端访问一些非主流网站时使用 SSL 检查(比如https://neverheardof.net)。SSL 检查器是否需要即时签署证书?如果攻击者是客户端,并且它向很少使用的站点生成大量请求,该怎么办?这会导致 SSL 检查器瘫痪吗?
另一方面,如果访问的网站使用不安全的证书(过期、无效或自签名),SSL 检查器可以做什么?如果它签署证书,它将掩盖安全问题。如果它拒绝证书,它将拒绝客户端访问。如果它通过证书,它还能检查吗?
答案1
SSL 检查员是否需要即时签署证书?
是的,这就是它的工作原理。它将拥有自己的受客户端信任的 CA,然后使用此 CA 动态颁发新证书。
如果攻击者是客户端,它会向很少使用的站点生成大量请求吗?这会导致 SSL 检查器瘫痪吗?
如果 SSL 检查器存在性能问题,则通过网站的访问通常会变慢。
... 如果访问的网站使用不安全的证书(过期、无效或自签名),SSL 检查器可以做什么?如果它签署证书,它将掩盖安全问题。如果它拒绝证书,它将拒绝客户端访问。如果它通过证书,它还能检查吗?
有些会直接拒绝访问。有些会忽略问题并创建有效证书,从而掩盖问题。有些会用另一个无效证书替换无效证书,这样就可以进行检查,但也会转发问题。其行为方式取决于实施,有时还取决于配置。