由於使用TLS的惡意軟件和網絡釣魚不斷增加，部分安全專家都在尋求解決方案，其中之一是以破解TLS，使他們可以監視到從他們的網絡進出的所有的流量。

破解TLS一般是通過加載檢驗性的CA證書來完成，通過你的TLS檢驗設備來動態生成證書。來自CA的公鑰加載到網絡上的所有客戶端。當一個域被請求時，一個證書隨之生成，並返回給請求方。請求者對TLS檢測設備的可信連接，然後設備就會發起一個到目的地的連接。用戶對所請求的資源有“信任”連接，安全團隊就可以對整個會話進行監視。通常被稱為中間人，如下圖所示。

1、這種行為通常會隱藏危險。破解TLS即存在合情的出發點但卻並不合理、也不安全：

我們已經習慣了用戶“安全鎖”。筆者認為信任瀏覽器是一個良好的安全程序的基石。如果你偶然點進一個釣魚網站，都會通過瀏覽器註意到該連接是不安全的，然後就會關閉窗口。而當破解了TLS後，就會使用戶直接面對各種各樣的釣魚攻擊，同時向他們展示象征安全的綠鎖。假設90%的攻擊是以釣魚開始的話，那麽破解TLS極不利於信息安全。

2、當破解了TLS後，很多工具都會崩潰。一些app的驗證機制要麽太強（證書綁定），要麽太弱（自動驗證某些領域在一個有效的CA）。當你把自己置於其中時，你肯定會以某些無法預計的方式破解掉這些app。這對用戶來說的確是一件危險的事情，而且還是那些“安全人員”造成的。筆者曾經親眼見過開發人員花費大量時間來解決破解TLS後帶來的潛在問題。

3、這樣的網絡安全監視真的值得嗎？將所有網絡通信收集到指定的網關然後進行分析是一項很艱巨的工作。入侵監測不僅需要在軟件方面投入大量的金錢，而且還要在安全事件管理以及監控人員方面進行金錢投入。

應該怎樣做

如果對以上問題沒有一個有說服力的答案，那麽請考慮把時間和資源投入到其他方面。安全從業人員應該將他們寶貴的精力用於用戶培訓、規範Web應用程序的有用監測、推行密碼管理器以及強制推行雙因子認證。如果還有多余的時間，盡快打好補丁。

釣魚網站防禦的四個階段

說服用戶認識網絡威脅的危險性是解決問題的重要起點。我們把釣魚網站防禦分為四個階段：培訓、評估、報告和執行。建立防禦網絡釣魚的保護計劃，通過投入時間和資源到每個階段。

培訓和評估是通過交流使用戶了解情況並測試他們是否點擊，這變得司空見慣的行為。這些訓練有素的用戶跟你和討論他們收到的可疑電子郵件，要讓他們習慣於把這些可疑郵件轉發到指定的監視郵箱中。用好這一方法，就能把“點錯一次就失去一切”的狀況轉變為“只需點一次釣魚網站就能進行報告並保護所有人”。

安裝web應用

一個靠譜的web應用可以幫助進行渠道監視異常、用戶密碼重置、用戶和管理員登入、登出、重要網絡過濾器事件和授權用戶事件（更新IP、添加域），甚至安全性打分機制，告訴用戶什麽時候需要給系統打補丁。一個安全的web應用能讓安全團隊在恰當的時候獲得正確的信息，然後做出正確的決定。

升級密碼管理

這條最後防線的重點是刪除所有的密碼重用的痕跡，並全面推進雙因子認證，這樣，即使密碼丟失，密碼的實效性也不會一直有效。

由於資源往往稀缺（時間、金錢），把安全計劃的重點放在防範攻擊者，比在繁瑣的監視上花費人員和工具更有意義。而采用以上列出的簡單策略，就可以建立一個經濟實用的安全計劃。

稿源翻譯：HELPNETSECURITY

文章轉載：https://www.trustauth.cn/news/security-news/15916.html

破解TLS：這麽做真的有利於安全嗎？