Blucoat Proxy 如何让政府解密 SSL？

它不允许政府解密任何网络上的任何类型的 SSL 流量。BlueCoat 在公司内部（和政府机构内部）用于检查他们自己的传入和传出 SSL 流量是否存在恶意软件、数据泄漏等。进行透明 SSL 检查所需的代理证书已正式安装在系统上。如果未安装这些，则用户会收到警告。

Blue Coat Proxy SG 只是一个代理。它不包括恶意软件。

Blue Coat 的 Proxy SG 和其他类似解决方案所做的是对加密流量的 MITM 攻击。它对传入流量进行解密，对已解密的信息进行任何配置，然后在转发数据之前再次加密数据。这很简单。（我知道，大约十年前我和其他人一起写了一个 MITM 代理。）

拥有 MITM 代理后，必须将其放置在正确的位置。公共网络中有 Blue Coat 产品的证据：https ://citizenlab.org/2013/07/planet-blue-coat-redux/

一旦您将 MITM 代理放在正确的位置，执行 MITM 攻击所需的是受信任的证书。浏览器信任大量的根证书。他们还信任由这些根证书签名的中间 CA 证书。因此，这是获取此类证书并将其加载到监控设备中的问题。任何受浏览器信任的 CA 证书都可以。浏览器信任的 CA 数量越多，安全性越低。（监控设备是否由 Blue Coat 出售，此处无关紧要。）

可以购买证书。它们也可以从损坏的 CA 获得。（寻找 Comodo 和 DigiNotar 黑客故事）。此外，根据 EFF，54 个州控制受浏览器信任的 CA：https ://www.eff.org/files/countries-with-cas.txt

您可能会发现这些链接相关：

• https://www.mozilla.org/en-US/security/advisories/mfsa2013-117/
• http://arstechnica.com/security/2013/01/turkish-government-agency-spoofed-google-certificate-accidentally/

（在第一种情况下加载证书的 MITM 设备可能来自也可能不是来自 Blue Coat。这是未知的。）

此外，用户往往会忽略安全警告。如果可以预测受害者会忽略安全提示，则不需要可信证书：https ://www.eff.org/deeplinks/2011/05/syrian-man-middle-against-facebook

另一种可能性是利用漏洞或贿赂内部人员以获取服务器的私钥。

已经制定了阻止这些攻击的对策，例如证书锁定（Chrome 对一些大型域执行此操作）和证书透明度：https ://www.certificate-transparency.org/

Perspectives 项目被设计为一个系统，在该系统中，更多受信任的第三方转化为更好的安全性。（与 PKI 模型相比，受信任的第三方数量越多，安全性越低。）

用于危害目标计算机的恶意软件是一种完全不同的威胁。在这种情况下，SSL/TLS 不会为受害者提供任何保护。这就是 NSA 对 Tor 用户的攻击。

根据您所在国家/地区的法律，是的，您的公司可以读取您的 SSL 流量。

他们不需要破解任何东西。在 Windows 环境中，他们只需要定义一个策略，即 AD 中的每台计算机都将公司证书作为受信任的根证书。当您的公司为您提供计算机时，只要不违反您所在国家/地区的法律，他们就有权在其上做任何他们想做的事情。

据我所知，有两种方法，政府可以解密 HTTPS 流量。同样，这些只是猜测。在以下两种情况下，BlueCoat 设备都可以用作代理，但这根本不是必需的（使用的代理相当无关紧要）。

一种是在客户端机器上植入代理证书。这要求政府首先侵入客户的设备。Bluecoat 设备中没有进行这种黑客攻击的机制。如果政府可以强制操作系统或笔记本电脑供应商这样做，也可以只运送已安装证书的客户设备。

其他（更可能的情况）是在代理上拥有私钥，以便它可以解密传入的流量。这需要政府强制一个组织给他们私钥（还记得 Lavabit 吗？）