这是Elie Bursztein的一篇客座帖子，他写的是安全和反虐待研究。这篇文章第一次发表在他的博客上，并进行了少量编辑。这篇文章总结了加密网络流量拦截的流行程度，以及它对在线安全的负面影响，这篇文章是根据NDSS 2017上发表的一篇研究报告得出的，包括本文作者和Cloudflare的Nick Sullivan。我们发现有4%到10%的网络加密流量（HTTPS）被截获。分析这些被截获的连接可以进一步发现，虽然并不总是恶意的，但拦截产品通常会削弱用于安全通信的加密，并将用户置于危险之中。这篇博文通过回答以下问题对我们的研究主要发现进行了简短总结：如何拦截加密的网络流量？本节简要回顾如何执行代理拦截。HTTPS拦截有多普遍？本节将解释我们如何测量我们分析的80亿个连接中HTTPS拦截的流行率。接下来，它总结了按操作系统（OS）、浏览器和网络对这些拦截进行分组时观察到的关键趋势。谁在拦截安全的网络通信？为什么？本节概述了我们发现的拦截事件的责任人及其动机。拦截HTTPS流量的安全含义是什么？这一部分讨论了为什么拦截，即使不是恶意的，也经常通过削弱用于保护通信的加密而使用户处于危险之中。如何拦截加密的网络流量？如上图所示，产品通过执行路径攻击（通常称为中间人攻击）来拦截流量。本质上，该软件将加密的连接重定向到自身，并假装是请求的网站。然后拦截器打开一个新的加密连接到目的地网站，并在两个连接之间来回代理数据，使拦截大部分"不可见"。因为拦截器可以访问连接中的未加密数据，它可以读取、更改和阻止客户端发送或接收的任何内容。拦截连接有两种主要方式：本地和远程。本地拦截：当拦截器直接在用户的计算机上运行时，操作系统网络堆栈将被修改，以拦截并重定向到拦截软件的连接。这种技术通常被防病毒软件用来监视网络连接，以识别恶意下载，并被一些恶意软件毒株用来窃取凭据或插入广告。远程拦截：通过沿着连接用户计算机和他或她正在浏览的站点的网络路径插入监控来执行远程拦截。例如，这可以通过使用防火墙规则将网络流量重定向到拦截器来实现。网络拦截通常由"安全箱"执行，它试图检测攻击或监视网络上所有计算机的公司数据泄漏。这些盒子通常也被用来拦截和分析电子邮件。拦截的一个重要方面是软件如何在用户浏览器检测不到的情况下模拟网站。通常，当建立HTTPS连接时，浏览器通过验证web服务器提供的证书的真实性来确认网站的身份。如果证书验证失败，浏览器将发出警告，如上图所示，警告用户连接可能不安全。这就是为什么TLS证书的"不可伪造性"是在线安全的基石；它是一种技术手段，让你知道你在和正确的网站交谈，而不是冒名顶替者。这就提出了一个问题：如果HTTPS截取程序被设计为不可伪造的，那么它们如何能够为所有网站生成有效的证书。这个问题的答案在于浏览器如何确定证书是否有效。在高层次上，通过检查证书是否由CA（证书颁发机构）签名来确定。当建立新连接时，浏览器通过检查是否由这些CA之一签名来验证服务器提供的证书是否有效。CA证书存储在本地计算机上的受信任存储区中，这意味着添加到此存储区的任何CA证书都可以用于为任何网站颁发有效证书。这就是为什么拦截器伪造证书最简单的方法不是通过一些精心设计的加密攻击，而是简单地将自己的"根"证书添加到计算机信任存储中。这样，浏览器将信任由拦截器签名的任何证书。此行为不是一个漏洞，因为添加证书当然只有在拦截器有权访问计算机文件系统或计算机管理员已安装它时才可能。HTTPS拦截有多普遍？衡量拦截并不是一项容易的任务，因为拦截者不会宣传自己（显然）。这就是为什么，为了检测连接是否被拦截，我们使用了一种称为TLS指纹技术的改进版网络指纹技术，它允许我们确定是哪个软件在进行连接（拦截器还是浏览器）。这项技术的工作原理是查看TLS客户端的hello包是如何构造的（例如，密码套件和TLS选项），并将其与已知指纹的数据库进行比较。这些指纹被证明是非常可靠的，特别是与HTTP请求中公布的用户代理相比。通过与一家大型电子商务网站Firefox和Cloudflare的合作，我们研究了他们服务的浏览器流量被截获的比例。有多个有利点是很重要的，因为结果很大程度上取决于你从哪里看。例如，总体而言，我们观察到4%到10%的HTTPS连接被拦截，如上图所示。虽然这些数字很高，但必须记住，并非所有这些拦截都是恶意的。根据操作系统对Cloudflare和电子商务网站的流量进行细分，可以发现Windows被拦截的频率远远高于MacOS，如上图所示。这一细分还突显出，移动操作系统Android和iOS被截获的频率明显低于桌面操作系统。图13中报告了完整的故障以及按浏览器划分的故障。Firefox拦截分解显示出完全不同的分布，大部分拦截来自移动运营商提供商，如上图所示。对这种巨大差异的部分解释是，桌面上的Firefox对其SSL根证书使用单独的存储，这使得它比其他浏览器更不容易被拦截。谁在拦截网络通信？为什么？与人们普遍认为的相反，拦截流量并不一定是恶意的。根据我们的研究，正如上图所总结的，web流量被拦截的主要原因有两个截然相反的原因：提高安全性：防病毒解决方案和一些公司防火墙/IP出于安全原因执行拦截。他们希望检查加密的流量，以防止恶意软件传播或监视流量以防数据外泄。一些家长控制软件和广告拦截程序使用类似的方法来阻止特定网站的流量。执行恶意活动：在另一端，恶意软件拦截连接以插入广告并窃取机密数据。例如，在superfish案例中，截取被用来将不需要的广告注入到各种网站中。通过对已知的安全产品进行指纹识别，我们能够将相当多的截获归因于它们，如上图所示。例如，Avast负责9.1%的Cloudflare拦截和10.8%的电子商务拦截。也就是说，我们有很多未知的指纹，很可能是恶意软件造成的。拦截HTTPS流量的安全含义是什么？如果拦截本身不是恶意的，那么人们可能会想为什么拦截流量通常会削弱在线安全性。其根本原因是，大多数拦截产品以不安全的方式使用加密技术。因此，如上图所示，当截取发生时，从拦截器到网站的连接使用不安全的加密技术来加密用户数据，而不是现代浏览器提供的安全加密。使用坏密码的最终结果，如下所示，它打开了更弱的连接到攻击。黑客还可以截获加密连接，窃取机密数据，如凭证、即时消息和电子邮件。在某些情况下，如Komodia，加密实现是如此的脆弱，以至于攻击者可以轻而易举地截获任何加密通信。为了量化HTTPS拦截如何影响连接安全性，我们分析了这些拦截器使用的加密堆栈的安全性。总的来说，我们发现65%的被截获的连接到Firefox更新服务器的连接降低了安全性，惊人的37%很容易由于明显的密码错误（例如，证书未经验证）而容易受到路径攻击。如上图所示，虽然Cloudflare的数据稍好一点，但它的数据仍然令人担忧：被截获的Cloudflare连接中有45%的安全性降低，16%的连接严重中断。最后，电子商务网站的数据介于两者之间：62.3%的网站安全性降低，18%的网站严重受损。最后说一句"积极"的话，让我们提一下，具有讽刺意味的是，在极少数情况下（电子商务网站为4.1%，Cloudflare为14%），拦截提高了连接的安全性。然而，这主要是对不同的弱密码（RC4和3DES）进行排名的伪制品。总的来说，我们发现HTTPS截获比预期的更普遍（4%-10%），并且造成严重后果