當前已經越來越多的網站和流量使用加密的HTTPS進行連接，采用HTTPS加密連接可以防止攻擊者采用中間人的方式竊取用戶瀏覽器與網站服務器之間的通訊數據。相對于HTTP來說更多的用戶會相信瀏覽器標記綠色的HTTPS連接，而綠色的標識有時候也有可能暗藏殺機。

此前普遍的HTTP時代部分安全軟件會檢查連接內容確保安全性，這些安全軟件把該功能也帶來到了 HTTPS 。

那么這些安全軟件是如何監聽 HTTPS流量的呢?那就是直接向本地導入自定義的證書來替代網站原本的證書。把數字證書導入到系統受信任的區域后安全軟件即可替換掉網站證書，這種情況下瀏覽器是不會發出報警的。

這種方法就類似于中間人攻擊(MIT)的手法先攔截流量再檢查流量內容，若內容沒有問題則放行重新連接。除了部分安全軟件外某些廣告攔截軟件也會使用類似手法來識別頁面內容，這種手法實際上已經帶來了隱患。

這種操作手法的安全性會完全依賴對應的軟件，如果軟件沒有正確的對原內容進行驗證那么即可中間人攻擊。這僅僅相當于你與使用的軟件之間產生了HTTPS連接，而這些軟件能否識別與網站之間的連接就是未知的了。

研究人員在名為《HTTPS攔截產生的安全影響》論文中指出，對最常見的TLS攔截中間設備和客戶端攔截軟件進行測試后發現它們多數都會引入安全漏洞。

研究人員指出，“雖然對于某些老舊客戶端來說，代理增強了連接的安全性，但對于所引入的漏洞來說這些改進不足為道：97%的火狐連接、32%的電商連接和54%的Cloudflare連接被攔截后安全性會變弱”，而且“這些被嚴重損壞的多數連接是由基于網絡的中間設備而非客戶端安全軟件引發的：62%的中間設備連接安全性變弱，而58%的中間設備連接存在嚴重漏洞從而啟動后續攔截”。

在研究人員所測試的12款中間設備中(包括Checkpoint、Juniper、Sophos產品)，只有一款達到A級。5款設備被評為F級即不合格也就是說它們會引發嚴重漏洞;其余4款產品是C級即合格水平。換句話說，如果網絡上存在中間設備但不是Blue Coat ProxySG 6642，那么趁早刪除吧。

同樣，在來自12家公司的20款客戶端軟件產品中，只有兩款獲得A級水平：Avast的 AV 11 Windows版本而非Mac版本，以及Bullguard的Internet Security 16。10款產品是F級，余下的8款是C級。

因此美國國土安全部旗下的電腦應急響應小組在上周發出警告，這類軟件會削弱加密通信的 TLS 協議安全性。

為什么說一些錯誤工具會削弱網絡安全呢?客戶端和服務器在互聯網上的TLS和SSL加密通信是通過使用數字證書來創建身份鏈來完成。證書由受信任的第三方提供并且它會驗證你的連接是否跟受信任服務器連接。

因此為了運行，一臺攔截設備需要將自己受信任的證書發布給客戶端設備或者用戶需要不斷看到告警信息提示連接不安全。

瀏覽器和其它應用程序使用這個證書來驗證加密連接，但這就產生兩個問題。首先，驗證網絡服務器的證書是不可能實現的，其次也是更重要的一點是，監督產品跟網絡服務器通信的方式對于用戶來講是不可見的。換句話說，用戶只能確保自己跟攔截產品的連接是合法的，但無法知道其余的通信也就是跟網絡服務器的通信是否安全或者是否被攻陷。

結果，很多這種中間設備和攔截軟件組件本身的安全性很差，它們很多都沒有在重新加密并發送客戶端數據時沒有驗證服務器證書鏈。其中很多中間設備和攔截軟件組件在發送證書鏈驗證錯誤時不力，導致用戶對于可能存在的攻擊不明就里。

換句話說，檢查安全系統的工作削弱了它本應該去檢查的安全性。就像有人把你家門敞開而在檢查鑰匙合不合適。那么解決方案是什么?CERT指出可以到badssl.com網站上驗證你的監督產品的驗證工作是否有效。當然，也可以查看SSL論文并確保不再使用被標記為安全性差的產品。