不幸的是，在用户浏览器上安装根证书并对员工进行 MiTM 攻击是许多公司的标准做法。

有几种方法可以检测到这一点。

1. 一种方法是查找安装在您计算机上的根 CA 证书，看看您是否不认识其中一个 CA。这当然需要深入了解什么是真正的根 CA，以及什么是虚假的 MitM 代理提供者。

2. 另一个只是查看 https 网站生成的证书并检查它的签名者。所有 https 站点的证书将由提供 MiTM 攻击代理的公司签署。

3. 第三种方法是安装 Firefox，最好是不安装并作为独立运行的版本。Firefox 不使用系统提供的证书，而是使用自己的证书。你可以从 http://portableapps.com/得到这个 。

很明显，他们无法解密他们不拥有加密密钥的任何加密流量。他们更有可能像mitmproxy那样做；例如，他们可能会通过组策略将其根证书部署到公司的所有客户端，然后能够自行替换 Web 服务器的所有证书，......因为他们现在被认为是受信任的 CA（证书颁发机构）网络客户端。

这将允许他们解密基于他们自己的根 CA 颁发的证书链中的任何证书加密的所有连接。一些防病毒软件也使用这种技术。

当然，这不适用于带有 PSK（相移键控）的对称加密。

Blue Coat：如何获得加密 SSL Web 会话的可见性和控制权：

因为代理是一个活动设备（即，它终止流量），所以它既充当客户端的服务器，又充当客户端的服务器。因此，它对用户和应用程序都有原生的理解。对于许多组织来说，用户只能通过代理连接到互联网——因为它为企业提供了控制权。由于代理终止连接，它为所有启用 Web 的用户和应用程序交互的策略、性能和保护提供了一个至关重要的控制点。

Blue Coat SG 是领先的安全代理设备，可为企业提供各种规模的“代理的力量”。Blue Coat 通过在其市场领先的代理设备上提供 SSL 代理功能来扩展这一领先地位。

而采用另一种方法-解密：（Giamon：SSL解密：发现新基础设施盲点）

SSL 解密的卸载还消除了为多个工具拥有多个解密许可证的需要。毕竟，具有集成 SSL 解密功能的安全设备不会使其他工具受益，例如应用程序性能监控。Gigamon 可以同时向多个工具提供解密流量，从而最大限度地提高基础设施的整体效率、安全性和性能。这种方法的一个相关好处是私钥现在可以安全地上传到可见性基础设施，而不是与多个工具共享。

它还为 IT 和安全管理员提供了对流量的适当可见性，包括作为当今云基础设施核心的 SSL 加密段。

GigaSMART 解密数据包并将流量发送到多个带外工具，包括入侵检测 (IDS)、数据丢失防护和应用程序性能监控以进行分析。

因此，立即想到 SSL 中的 4 个常见漏洞：

1. 在您的计算机上安装根证书，允许拦截器成为 SSL 授权并创建伪造的 SSL 证书。这要求他们对您的计算机具有管理访问权限，即使 SSL 指纹仍然不同。
2. 对非 SSL 站点进行 MITM 攻击，然后在连接到 SSL 站点时使用 SSL 剥离。HSTS（严格传输安全）可以通过缓存网站使用安全连接的一段时间（并且在这段时间内不允许不安全的连接）来帮助缓解这种情况。
3. 如果 SSL 配置设置不正确，可以通过 SSL 实验室测试运行站点并记录漏洞来查看。这可能包括使用弱密码、弱密钥交换或使用过时的 SSL 协议而不是通过 TLS。
4. 证书上的散列算法在保持 SSL 安全方面也发挥着重要作用，因此 Chrome 正在逐步淘汰 SHA1。