既然 SSL 可以使用基本的中间人节点轻松解密,那么继续使用它的理由是什么?大多数 ISP 不是每天都使用深度数据包检测进行解密吗?并且,难道不可能在数据包路由的任何一跳(不仅仅是 ISP)上放置 MITM 节点进行解密,从而使 SSL 完全不安全吗?
答案1
由于 SSL 可以通过基本的中间人节点轻松解密,
取决于你的意思。最新版本的SSLSSLv3 存在严重漏洞,例如贵宾犬你可能正在考虑这个问题。该协议的当前版本是TLS 1.2,但即使 1999 年名称已更改,它仍经常被称为 SSL。我们真的应该停止这样做,并使用正确的名称。
使用当前版本和正确配置,中间人攻击并不那么容易。证书的存在是为了让用户(或他们的软件)能够识别远程端。除了拦截连接之外,您还需要一个有效的、受软件信任的证书。当然,由于 CA 基础设施如此,任何 CA 都可以创建一个。直到它们被从受信任列表中删除。幸运的是,这方面取得了进展,例如证书固定等。
继续使用它的理由是什么?
对于 SSLv3,绝对没有理由。对于 TLS 1.2,它是我们拥有的最好的。
大多数 ISP 不是每天都使用深度数据包检测进行解密吗?
这在许多司法管辖区可能都是违法的。
答案2
除了使用 SSL 保护网站访问者数据的明显原因之外,它还有其他好处。据说拥有 SSL 证书可以提高您的 SEO,事实上,谷歌宣布将开始提高 SSL 保护网站的排名。SSL 还可以防止网络钓鱼。网络钓鱼电子邮件通常包含指向犯罪分子网站的链接,冒充您的网站。当您使用 SSL 时,他们几乎不可能完美地冒充您的网站。SSL 还为您的网店提供信任指标,例如 HTTPS,如果您有 EV 证书,还会提供绿色地址栏。
SSL 解密这样做是为了获得加密流量的可见性,以便您可以检测恶意软件、防止数据丢失、监控应用程序等。这并不容易做到,只有拥有证书才能解密 SSL 流量。因此,只有网站所有者或窃取证书的人才能做到这一点,您需要专门的设备,例如 Ixia 的 SecureStack。