Cloudflare能檢測HTTPS並攔截MITMEngine

Cloudflare釋出新資安檢測工具，方便網站檢查TLS聯機是否遭到攔截，檢測易受攻擊的客戶端，並在安全性受威脅或是降級時通知他們。新工具爲檢測HTTPS攔截（HTTPS interception）的開源函式庫MITMEngine，以及Cloudflare使用MITMEngine打造，用來監控自家網絡，顯示HTTPS攔截統計數據的儀表板MALCOLM。在最單純的HTTPS鏈接狀況下，客戶端瀏覽器和服務器創建TLS鏈接，以發送請求和下載內容，但在因特網上，許多鏈接並不是直接從瀏覽器聯機到網站的服務器，而是通過許多中介，這些中介可能出於惡意或是良善的目的進行HTTPS攔截。

Cloudflare引用了2017年的研究指出，HTTPS攔截在因特網上廣泛發生，並且62％的流量通過中介後安全性降低，所以如今Cloudflare提供HTTPS攔截偵測工具，讓使用者知道網站聯機是否遭到攔截。Cloudflare提到，檢測HTTPS攔截能夠幫助服務器辨識，可疑或是易受攻擊的客戶端，服務器可使用這些信息，通知用戶他們的聯機可能遭到降級或是存在風險。另外，內容檢查系統也會削弱TLS鏈接的安全性，當使用者的聯機經過較舊的中介，則其聯機就可能被降級使用較舊的TLS版本，這樣即使在瀏覽器端跟服務器端都支持較新版本，但當服務器端無從得知聯機遭HTTPS攔截，就沒法使用較新TLS版本的功能。Cloudflare釋出的MITMEngine工具，可以精確的偵測HTTPS攔截，還具備強健的TLS指紋辨識能力。Cloudflare提到。很多TLS客戶端實做能被以惟一客戶端Hello訊息辨識，所以要辨識遭到截獲的HTTPS請求，服務器能夠查詢與請求的HTTP用戶代理相對應簽章，並檢查客戶端Hello訊息與該簽章是否相符，簽章不符就表示能夠能是欺騙代理或是遭攔截的HTTPS。感謝圖片提供：sbf999捕遊戲集合 http://www.indoorair.org.tw/

MITMEngine是一個開源的HTTPS攔截偵測器，爲Go語言撰寫的函式庫，可用取得用戶代理和TLS客戶端的指紋，並回傳HTTPS攔截的可能性，以及用於識別攔截的要素。透過比較數據的差別，MITMEngine可以精確地偵測HTTPS攔截，還能判斷攔截的時間以及可能使用的軟件。另外一個可供大衆存取的儀表板工具MALCOLM，則顯示使用MITMEngine收集的HTTPS攔截統計數據，而這些數據來自Cloudflare的網絡，Cloudflare將MITMEngine應用在他們的網絡上，觀察網絡請求的HTTPS攔截。Cloudflare表示，他們使用MITMEngine和MALCOLM兩個工具，可以持續追蹤超過因特網10％流量的HTTPS攔截狀態，以做爲部署新的安全功能或是協議上的參考，也能密切關注可疑軟件。