本申請(qǐng)公開了一種SSL代理過程中的信息提示方法和裝置。該方法包括：在網(wǎng)絡(luò)安全設(shè)備作為中間對(duì)象分別與客戶端及服務(wù)器進(jìn)行SSL協(xié)商的過程中，所述網(wǎng)絡(luò)安全設(shè)備檢測(cè)是否接收到所述客戶端發(fā)送的SSL警告信息，其中，所述SSL警告信息用于指示所述客戶端驗(yàn)證所述網(wǎng)絡(luò)安全設(shè)備的證書信息失??；若所述網(wǎng)絡(luò)安全設(shè)備接收到所述客戶端發(fā)送的SSL警告信息，則確定所述客戶端未導(dǎo)入所述網(wǎng)絡(luò)安全設(shè)備簽發(fā)的CA證書；所述網(wǎng)絡(luò)安全設(shè)備將所述客戶端的請(qǐng)求進(jìn)行重定向提醒。通過本申請(qǐng)，解決了相關(guān)技術(shù)中網(wǎng)絡(luò)安全設(shè)備無法得知客戶端是否導(dǎo)入CA證書的問題。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體而言，涉及一種SSL代理過程中的信息提示方法、裝置、存儲(chǔ)介質(zhì)及處理器。

背景技術(shù)

當(dāng)前互聯(lián)網(wǎng)流量正逐漸從HTTP向HTTPS遷移，作為網(wǎng)絡(luò)安全設(shè)備如防火墻、上網(wǎng)行為管理等網(wǎng)絡(luò)設(shè)備，以前基于應(yīng)用、內(nèi)容的安全過濾之類的技術(shù)，現(xiàn)在由于網(wǎng)絡(luò)流量越來越多的使用SSL/TLS(以下統(tǒng)稱為SSL)進(jìn)行加密后變得不再如此有效。

在NGFW的理念中，安全不再是傳統(tǒng)防火墻依靠五元組來進(jìn)行阻斷隔離，其強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)流量的內(nèi)容進(jìn)行深度解析后，再配合各種安全引擎進(jìn)行過濾。這種理念的前提安全設(shè)備能夠看到網(wǎng)絡(luò)流量中的內(nèi)容，從而可以進(jìn)行協(xié)議解析和安全掃描。

然而，互聯(lián)網(wǎng)流量正在快速由HTTP向HTTPS轉(zhuǎn)移，原本的明文流量使用SSL協(xié)議進(jìn)行加密，這個(gè)打破了NGFW里面大量的基于明文流量進(jìn)行處理的前提。

正是在這個(gè)背景下，越來越多的網(wǎng)絡(luò)安全設(shè)備可以作為SSL協(xié)議的中間對(duì)象，在客戶端通過SSL加密訪問服務(wù)器時(shí)，網(wǎng)絡(luò)安全設(shè)備作為中間對(duì)象分別與客戶端和服務(wù)器端建立SSL連接。從而網(wǎng)絡(luò)上傳輸?shù)牧髁恳廊皇且許SL進(jìn)行加密封裝，只是在網(wǎng)絡(luò)安全設(shè)備上進(jìn)行解密后再進(jìn)行加密，從而使得網(wǎng)絡(luò)安全設(shè)備能夠看到加密流量的內(nèi)容。

第一種情況是在網(wǎng)絡(luò)安全設(shè)備不解密時(shí)，只是將流量在客戶端和服務(wù)器端進(jìn)行轉(zhuǎn)發(fā)。

第二種情況是網(wǎng)絡(luò)安全設(shè)備作為中間對(duì)象，分別與客戶端和服務(wù)器端建立連接，兩個(gè)連接都是HTTPS連接，這樣網(wǎng)絡(luò)流量在網(wǎng)絡(luò)上仍然以加密的形式進(jìn)行傳輸，而網(wǎng)絡(luò)安全設(shè)備作為中間對(duì)象，則可以對(duì)加密流量進(jìn)行解密，從而看到其中的明文流量，當(dāng)其發(fā)出流量時(shí)，再對(duì)流量進(jìn)行加密。

上述方案在實(shí)際中的問題是，網(wǎng)絡(luò)安全設(shè)備作為中間對(duì)象時(shí)，需要針對(duì)不同的網(wǎng)站進(jìn)行數(shù)字證書簽發(fā)，當(dāng)客戶端訪問https://www.baidu.com時(shí)，網(wǎng)絡(luò)安全設(shè)備需要給www.baidu.com簽發(fā)證書；當(dāng)客戶訪端訪問https://www.qq.com時(shí)，網(wǎng)絡(luò)安全設(shè)備需要給www.qq.com簽發(fā)證書。

顯然，這簽發(fā)的證書并非是真正的網(wǎng)站的證書，而是網(wǎng)絡(luò)安全設(shè)備作為CA(證書頒發(fā)機(jī)構(gòu))頒發(fā)的，而這個(gè)CA并不會(huì)在客戶端的受信CA列表中，從而客戶端會(huì)判斷出這個(gè)數(shù)字證書并不受信，從會(huì)而斷開連接或者彈出告警。

所以，實(shí)際中做SSL代理部署時(shí)，通常需要在客戶端中將作為中間對(duì)象的網(wǎng)絡(luò)安全設(shè)備所使用的CA證書導(dǎo)入到受信CA列表中，這樣客戶端則認(rèn)為網(wǎng)絡(luò)安全設(shè)備簽發(fā)的任何證書都是合法的，進(jìn)而可以進(jìn)行正常的網(wǎng)絡(luò)訪問。

然而，如何讓客戶端將CA證書導(dǎo)入到受信CA列表中，在實(shí)際操作中操作也比較麻煩。一般情況下會(huì)同時(shí)采用兩種方式來告知最終用戶去導(dǎo)入CA證書：

1.通過郵件或者其它類似的線下的方式來告知最終用戶需要導(dǎo)入證書。

2.在網(wǎng)絡(luò)安全設(shè)備上進(jìn)行周期性或者不定期的重定向用戶的請(qǐng)求，通過彈出提醒頁(yè)面來告知最終用戶下載和導(dǎo)入CA證書。

由于郵件其它離線方式告知最終用戶導(dǎo)入CA證書的方式是由管理員操作的一次性行為，由于管理員無法確定最終用戶有多少會(huì)安裝證書，這種方式通常在初次部署的時(shí)候會(huì)使用，為了避免對(duì)最終用戶的打擾，通常不會(huì)選擇周期性的告知。