问Equifax破坏的因果链(过期证书禁用IPS功能)

EN

我正在研究在这里描述的Equifax漏洞：https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf

显然，攻击在很长一段时间内都没有被发现，所给出的主要原因是过期的证明:由于过期的证书，Equifax IPS无法及时检查加密的通信量和发现违规行为。

-编辑，根据Steffen Ulrich以下的答复--

报告第34页提供了更多细节：

过期的SSL证书安装在称为SSL可见性(SSLV)应用程序的流量监视设备上。195该设备允许Equifax检查进出ACIS平台的加密通信量，方法是在将流量发送到ACIS服务器之前对流量进行解密以进行分析。196入侵检测系统和入侵预防系统都在此监视设备的后面。

并在同一页上进一步说明如下：

此设备的默认设置允许网络流量继续传输到ACIS系统，即使SSL证书已过期。当发生这种情况时，进出互联网的流量不会被入侵检测或预防系统分析，因为这些安全工具无法分析加密的流量。根据获得的文件，在监控ACIS域ai.equifax.com的SSLV设备上安装的SSL证书于2016年1月31日到期。因此，Equifax在19个月内没有对ACIS环境中的网络流量具有可见性。

-编辑结束--

根据我的研究，即使是过期的证书，解密数据也是可能的。例如，这里的文章：https://stackoverflow.com/questions/28098470/no-error-encrypting-decrypting-data-with-an-expired-certificate-using-rsacrypt

我不太熟悉IPS产品和相应的配置可能性，所以我有点困惑:过期证书到底有什么问题？是IPS检查有效性，以防万一证书。是过期的拒绝解密流量吗？如果是这样的话，至少应该有一个选项来解密，并向运行IPS的S发出警告。有这样的事吗？

谢谢你的洞察力和欢呼声