Kontrolleur in der Mitte
Machtlose Firewall
Während SSL beispielsweise die Kommunikation zwischen einem Client und einen Webserver sicher macht, gab es trotzdem einen großen Nachteil beim Einsatz der SSL-Technologie. Denn durch die Verschlüsselung des Verkehr ist es für einen Proxy unmöglich, den Inhalt von SSL-Verkehr zu sehen, zu verstehen und zu kontrollieren. Dies führt dazu, dass in den meisten Unternehmen der TCP-Verkehr über den Port 443 nicht geprüft wird und Daten auf diesem Weg unkontrolliert in das Unternehmen hinein und aus dem Unternehmen heraus gelangen können. So kann die IT-Abteilung beispielsweise SSL-verschlüsselte Web nicht auf Viren, Spyware, Trojaner oder Phishing-Angriffe prüfen. Auch nutzen andere teils unerwünschte Anwendungen eifrig den Port 443 wie beispielsweise Skype, Instant Messenger oder Peer-to-Peer- und File-Sharing-Software. Teilweise verschlüsseln diese ihre Kommunikation, teils machen sie sich gar nicht die Mühe, da die IT-Abteilung diesen Verkehr sowieso nicht kontrollieren konnte.
Bereits bestehende Sicherheitsprodukte wie Firewall oder Proxy-Server mussten sich bisher damit begnügen, die unverschlüsselten Elemente einer SSL-Verbindung, nämlich Quell- und Ziel-Adresse und -Port – zu inspizieren. Auch traditionelle URL-Filter konnten SSL-Verkehr nur etwas kontrollieren, da sie IP-Adresse kategorisieren können. Jedoch unterliegen sie ähnlichen Restriktionen, da auch sie den Inhalt der Kommunikation nicht erkennen können und da der Verkehr verschlüsselt ist, ist normalerweise auch der Hostname einer HTTPS-Anfrage verschleiert. Um dieses Sicherheitsrisiko auszuschalten und auch die Kontrolle über SSL-Verkehr zu erlangen, führt in der Praxis heute kein Weg an dem Einsatz eines SSL-Proxy vorbei.
