Según Mozilla Telemetry la mitad de los mejores resultados en la búsqueda de Google utiliza https en 04/2017 y proyectaron un crecimiento adicional de 65% a fines de año. Y aunque alguna vez se usó como un indicador de confianza en el contenido del sitio, https ahora es lo suficientemente ubicuo como para proteger el tráfico en sitios que generan malware o phishing, ya sea porque se configuraron de esta manera o porque un sitio anteriormente inofensivo fue hackeado
Esto significa que el contenido entregado a través de https no se puede confiar solo por el https, pero se debe inspeccionar como cualquier otro contenido potencialmente malicioso. Dicha inspección se puede realizar en el punto final del cifrado o en un punto intermedio. En este último caso, uno usa, por ejemplo, firewalls empresariales que ofrecen intercepción SSL, pero también muchos AV de escritorio tienen proxies locales que hacen intercepción SSL. La otra opción sería analizar el contenido solo después del descifrado, por ejemplo, utilizando extensiones dentro del navegador que tengan acceso a cualquier contenido descifrado o analizando cualquier acceso a archivos.
Estos diferentes métodos de inspección de contenido no tienen las mismas capacidades porque trabajan con diferentes datos, tienen diferentes contextos de comunicación y se aplican en entornos en los que se confía de manera diferente, es decir, los diferentes métodos tienen diferentes ventajas y desventajas.
La intercepción de SSL en el firewall perimetral brinda visibilidad de los datos entrantes y salientes a nivel de red. Esto proporciona una imagen más amplia de la red donde los datos de diferentes sistemas se pueden analizar juntos. También ayuda a detectar o restringir la comunicación de botnets. Y, aunque el bloqueo básico de sitios web completos a menudo se puede lograr sin la intercepción de SSL, el control más granular, como bloquear solo las publicaciones a Facebook, solo se puede lograr al tener acceso al contenido. El mayor problema con la intercepción SSL es que destruye el cifrado de extremo a extremo esperado del tráfico y puede debilitar la seguridad si no se implementa correctamente. Y, desafortunadamente, a menudo está mal implementado .
En su lugar, analizar el contenido descifrado en el navegador no es menos invasivo que hacer la intercepción SSL y agrega algunos problemas adicionales. Para ser efectivo en la detección y el bloqueo de contenido malicioso, el complemento del navegador debe tener acceso a cualquier contenido en el navegador antes de que éste lo ejecute. Sin embargo, este es un código que se ejecuta en un sistema que debe considerarse menos confiable como el firewall, ya que los ataques contra clientes con su enorme superficie de ataque son mucho más comunes y exitosos que contra un firewall. Por lo tanto, uno tiene que considerar el caso de que un atacante encuentre un problema de seguridad en el complemento y pueda deshabilitarlo o, peor aún, secuestrarlo en controla todo en el navegador .
La detección de contenido malintencionado con la supervisión del sistema de archivos, la supervisión de llamadas al sistema o similares ofrece algunas ventajas, ya que controla el malware en acción real en lugar de solo realizar análisis estáticos o realizar pruebas cortas dentro de un recinto de pruebas. Pero también pierde mucha información sobre el contexto de comunicación en el que se desarrollan estas actividades, es decir, de dónde proviene el contenido. Además, es imposible detectar los sitios típicos de phishing de esta forma, lo que engaña a los usuarios para que proporcionen sus contraseñas. Aparte de eso, también podría aumentar la superficie de ataque, ya que estas soluciones de monitoreo generalmente se ejecutan con privilegios elevados pero están lejos de estar libres de errores .
En resumen: al igual que otros tipos de análisis de contenido, la intercepción de SSL tiene sus ventajas y desventajas, es decir, aumenta la seguridad y, al mismo tiempo, la reduce de alguna manera. Pero, implementado y utilizado correctamente, el aumento de la seguridad superará la disminución en muchos casos de uso. Y, aunque hay otras formas de combatir el malware y el phishing, tienen sus propias ventajas y desventajas y no son necesariamente mejores que la intercepción SSL. Además, es útil, por ejemplo, tener una intercepción central de SSL en el firewall perimetral y una AV de escritorio como parte de una estrategia de defensa en profundidad.