防火墙怎么检测https报文是否存在风险？

Question

最近在做报文方面的分析，突然觉得很奇怪，https不是加密的吗，企业的防火墙是怎么检测https报文内含有非法数据并拦截的呢？

Answer 1

就我的理解，这个跟抓包工具抓HTTPS的原理类似的，公司给你机器预装了根证书的话，企业的防火墙出口就相当于一个中间人代理，能够解析你的HTTPS明文的。
你上任何网站，它可以根据目标域名给你动态签发一个证书，因为你信任了根证书，那它签发的证书也自动获得信任了。

Answer 2

理论上, 两方 AB 用 https 协议交流的内容, 任何第三方都看不懂, 包括防火墙.

因此, https 内容审查者必须是协议的其中一方 A 或 B, 这是典型的 "中间人攻击".
即原来的 A - B 通讯

  A --- B

演变成

  A --- B' + A' --- B

中间的审查者扮演了两个角色:

1. 对 A 来说, 它是原来的 B
2. 对 B 来说, 它是原来的 A

Answer 3

企业内网的话要求机器安装公司证书的。

可以参考这个讨论。