Desde el exterior , el espía puede acceder de forma pasiva a todo lo que se envía "claro" como parte de los pasos iniciales de un SSL / TLS . Esto incluye el hecho de que se utiliza SSL, la versión del protocolo, el conjunto de algoritmos criptográficos acordados, el certificado del servidor, a menudo el servidor previsto nombre ... Una vez que se completa el "apretón de manos" inicial, los forasteros solo ven datos cifrados, que no pueden descifrar; tenga en cuenta que la URL de destino forma parte de los datos cifrados (el nombre del servidor de destino puede verse en el protocolo de enlace, no en el resto de la URL). Debe decirse que, si bien los datos cifrados son opacos para los intrusos, la longitud de dichos datos no lo es; dependiendo de la suite de cifrado, la longitud puede ser conocida por espías externos con una precisión de un solo byte.
Dicha grabación solo pasiva de paquetes en tránsito no se puede detectar desde el cliente o el servidor (por definición).
Para acceder a los contenidos del túnel SSL , los inspectores deben, de alguna manera, piratear el cliente o el servidor. Hay productos diseñados para ser implementados por administradores de grandes redes (corporativas), donde este "pirateo" está representado por un adicional " raíz CA "insertada en el almacén de raíces confiables del sistema cliente. Esta CA raíz adicional es controlada por el proxy, que genera sobre la marcha un certificado falso para el servidor al que intenta acceder, y básicamente ejecuta un ataque del hombre en el medio . Esto se puede detectar en el lado del cliente al pedirle a su navegador que muestre el certificado del servidor y ver a qué CA raíz se adjunta este certificado.
Sin embargo , insertar una CA raíz adicional en el almacén de confianza requiere acceso privilegiado a la máquina (es decir, como Administrador) y quienquiera que pueda hacer eso, podría haber instalado un software de espionaje menos visible, como Registradores clave y capturadores de pantalla. Por lo tanto, si la inspección de contenido SSL es posible, también es posible la inspección no detectable . La CA raíz adicional es para los inspectores de contenido SSL que actúan de manera oficial y no sienten la necesidad de ocultar su espionaje.
A la inversa , si su máquina está "limpia" (no tocada por posibles espías), entonces SSL (HTTPS) lo protegerá contra la inspección externa de sus datos. Esta es una de las características principales de SSL.