[网络协议]关于 SSL/TLS 安全传输层协议，明文审查

本文提出内容，仅面向采用公共CA证书颁发机构颁发证书，且仅限于单向认证，双向认证明文审查是很难实现的，但不意味着无法实现，不过不在本文的探讨范围。

主流CA机构：

国内：沃通（WoSign）

国际：Symantec、FreeSSL、ZeroSSL、Let's Encrypt、GlobalSign...

作为一个强大的中间人要审查用户流通的 HTTPS 加密明文流量，需要以下几个先决条件。

1、成为一家受 Web 浏览器，“内置根证书链” 信任的CA证书颁发机构。

防止 Web 网页浏览器，提示用户网站HTTPS连接有问题，爆黄[警告]、爆红[错误]

2、可以从链路层上控制用户的流量流通，可控、可被编程硬件路由器。

原理：

1、基于SNI识别的TLS明文审查

客户端主机 -> 中间人路由器 -> TCP/IP报文变换为TCP控制流（NAT）-> 分析客户端向服务器发送的 ClientHello 握手协议报文 -> 摘要SNI指示域名或IP地址 -> 映射多重网络NAT链路关系 -> 检索摘要在CA机构颁发的SSL证书公私钥 -> 找不到证书则为该指示 ”域名或IP地址“ 颁发由本CA机构颁发的SSL证书 -> 完成与客户端主机的SSL/TLS连接。

2、基于捕获SSL证书识别的TLS明文审查

客户端主机 -> 中间人路由器 -> TCP/IP报文变换为TCP控制流（NAT）->?映射多重网络NAT链路关系 -> 检索TLS来自服务器向TLS客户端经 ”Server Certificate“ 协议明文发送的证书二进制文件 -> 从证书摘要信息之中提取证书信息（例如：证书摘要信息之中的：使用者可选名称项，它明确指示证书颁发给那个目标，SSL证书一般是颁发给某个DNS域名，所以就常见其值为：DNS Name="*.XXX域名"）->? 检索摘要在CA机构颁发的SSL证书公私钥 -> 找不到证书则为该指示 ”域名或IP地址“ 颁发由本CA机构颁发的SSL证书 -> 完成与客户端主机的SSL/TLS连接。

表现连接真实形式：

向客户端方向：SSL客户端 -> SSL中间人（服务器）

向服务器方向：SSL中间人（客户端）-> SSL服务器

但仍旧存在两个疑难问题：

1、中间人建立的双向SSL连接，SSL服务器（目的）与SSL客户端（用户）两边建立的TCP/IP连接不同，SSL服务器可能发现不是由SSL客户端建立的SSL/TCP连接【服务器/客户端是自己的】

2、CA机构颁发的证书，CA颁发机构与服务器上证书颁发CA机构不同【服务器/客户端是自己的】

回答第一个问题：这个很容易处理，我们仍旧使用来自用户IP+PORT（TCP）与目的服务器之间建立SSL/TLS加密连接，因为，作为该用户网络的出入口的路由器层，我们可以权权把控真实来自双边各自传输的具体流量，这只需要做好 “多重网络NAT及虚拟化” 技术，就可以，详细怎么做不在本文探讨的范围。

回答第二个问题：为了让某些 ”自作聪明的家伙们“ 彻底的以为自己非常安全，放开胆子，放大黑暗，而令其根本不能察觉被明文审查，所以，我们需要出于 ”从实力地位向CA机构们，提出强制要求，CA机构必须对接我们的中间人审查系统，不同意接入就看谁该滚蛋“。

小伙伴们了解到本文，就应该知道：网络不是法外之地，某些人，想想，今天这么狂，只是还没有碰到G点，碰到G点，缝纫机大队，热烈欢迎，您！好好改造，出来，还是个好汉。