Dall'esterno , l'intercettatore può accedere passivamente a tutto ciò che viene inviato "in chiaro" come parte dei passaggi iniziali di un SSL / TLS connessione. Ciò include il fatto che SSL è usato, la versione del protocollo, l'insieme concordato di algoritmi crittografici, il certificato del server, spesso il server previsto nome ... Una volta che l'iniziale "stretta di mano" è completa, gli esterni vedono solo i dati crittografati, che non possono decifrare; si noti che l'URL di destinazione fa parte di quei dati crittografati (il nome del server di destinazione potrebbe essere visibile nell'handshake, non nel resto dell'URL). Va detto che mentre i dati crittografati sono opachi agli intercettatori, la lunghezza di tali dati non lo è; a seconda della suite di cifratura, la lunghezza può essere nota a spie esterne con precisione a singolo byte.
Tale registrazione passiva dei pacchetti in transito non può essere rilevata dal client o dal server (per definizione).
Per accedere ai contenuti del tunnel SSL , gli ispettori devono in qualche modo hackerare il client o il server. Ci sono prodotti pensati per l'implementazione da parte di amministratori di grandi reti (aziendali), dove questo "hack" è incarnato da un ulteriore " root CA "inserita nello store delle root attendibili del sistema client. Questa CA radice extra è controllata dal proxy, che genera al volo un certificato falso per il server che si tenta di raggiungere, e fondamentalmente esegue un attacco man-in-the-middle . Questo può essere rilevato dal lato client chiedendo al tuo browser di visualizzare il certificato del server e vedere a quale CA radice questo certificato si attacca.
Tuttavia , l'inserimento di una CA radice aggiuntiva nel trust store richiede l'accesso privilegiato alla macchina (ad es. come amministratore) e chiunque possa farlo, potrebbe anche installare software di spionaggio meno cospicuo come key logger e screenshot grabber. Pertanto, se l'ispezione dei contenuti SSL è possibile, è possibile anche ispezione non rilevabile . La CA radice aggiuntiva è per gli ispettori del contenuto SSL che agiscono su base ufficiale e non sentono l'impulso di nascondere le loro intercettazioni.
Al contrario , se la tua macchina è "pulita" (non toccata da potenziali spie), allora SSL (HTTPS) ti ti proteggerà dall'ispezione esterna dei tuoi dati. Questa è una delle funzionalità principali di SSL.