这是大公司的普遍做法吗？

是的。该功能在大多数企业防火墙中都可用，在一些小型公司的防火墙中也可用。它甚至可以在免费的网络代理 Squid中使用。几个个人防火墙也实施了它。

随着越来越多的网站（包括无害和有害的）迁移到https://，预计 SSL 拦截的使用也会增加，因为没有人喜欢防火墙无法保护系统，因为它对加密流量视而不见。

有人可以指出我的 ISO 标准吗？

SSL 拦截只是利用了现有的 SSL 和 PKI 标准。无需制定新标准来定义 SSL 拦截的工作方式。

至于网络安全标准：我不知道有什么明确要求 SSL 拦截，但我对这类标准知之甚少。但是，即使没有明确要求，当标准要求流量监控时，也可能会隐含地期望您阻止对 SSL 站点的访问或进行 SSL 拦截。

会给我一个证书错误。

SSL 拦截需要您信任拦截 CA。在大多数公司中，这些 CA 证书是集中管理并安装在所有计算机上的，但如果您使用像 Firefox 这样的浏览器，它可能无济于事，因为 Firefox 有自己的 CA 存储并且不使用系统 CA 存储。

对我来说，这是在损害一个领域的安全性而在另一个领域提供帮助。

是的，它正在打破端到端加密以检测使用加密连接的恶意软件和数据泄漏。但是，由于端到端加密的破坏是在公司完全控制下完成的，并且您仍然对外界进行加密，这是大多数公司愿意采取的折衷方案。

但请注意，过去在几个 SSL 拦截产品中检测到错误（例如不同公司之间的相同 CA，没有撤销检查......），这也削弱了安全性。

随着组织试图更多地控制事物，以及制造商推出能够监视用户活动的功能，这种做法变得越来越普遍。

对我来说，这是在损害一个领域的安全性而在另一个领域提供帮助。

是的，但是这个 MITM 可能会损害组织不关心的领域的安全性（比如对员工/客户/等体面），以便专注于他们关心的领域（比如能够成为控制）。

据推测，您可以通过安装公司发布的证书来停止获得这些 Web 浏览器错误。正如我在聊天室中提到的大学需要 SSL 认证的那样，这会使您面临问题。在这种情况下，证书来自 Cyber​​oam，它具有以下漏洞：“因此，可以使用任何其他 Cyber​​oam 设备拦截来自 Cyber​​oam 设备的任何受害者的流量 - 或从设备中提取密钥并将其导入其他 DPI设备”。(DPI="Deep Packet Inspection") 因此，不建议安装该证书。

更好的选择是在连接到 VPN 时根本不浏览网络。不浏览网页可能不方便：解决方法是尽量减少连接到 VPN 的时间。仅将 VPN 短暂用于需要加密的敏感通信，然后停止使用。如果这太不方便了，那就报告问题。如果有足够多的投诉，也许VPN会被认为对当前的政策太麻烦，这可能导致人们考虑改变政策。

根据其他一些评论（如 Arlix 的评论），ISO 可能不会提供任何关于此的标准。然而，做出回应的标准组织是 IETF，它注意到了这个“当前最佳实践”文档：IETF BCP 188（当前 RFC 7258：“Pervasive Monitoring Is an Attack”）。如果您正在寻找描述为什么不应该这样做的官方资源，这可能是您最好的选择。执行这种 MITM 攻击的公司不符合标准。

请记住，采用 SSL 拦截功能的两个最大障碍如下：

1. 公司或公共隐私要求（政策）——您需要确保您使用的任何 SSL 拦截解决方案都允许基于政策（URL 分类和白名单功能），以确保您可以免除您不想监控的网站。银行业就是一个很好的例子，如果您的网络或设备被黑客入侵并且员工/朋友的银行凭证被盗用，您是否要承担责任？考虑将存档和合规性要求作为讨论的一部分。

2. 未来的 SSL 更改 - 也就是证书验证。示例 - 许多网站将转向代码中的证书验证。这是网站检查以确保客户端使用的证书实际上与它发送的证书匹配的地方。这完全打破了几乎所有将 MITM 作为核心功能的 SSL 拦截实现。像这样的未来标准变化或行业最佳实践可能会影响您的支出甚至 SSL 拦截的可行性。