我在工作场所查看了 Gmail 的证书链,我意识到它是不同的。它看起来像这样:
Root CA
Operative CA1
___________.net
mail.google.com
当我在家里拿到证书链时,它看起来是这样的:
GeoTrust Global CA
Google Internet Authority G2
*.google.com
显然这些证书是我公司签发的。我最近在 security.stackexchange 上阅读了其他一些帖子,他们说该公司正在窃听(使用 MITM 代理)HTTPS 通信,以保护内部网络和客户端计算机免受病毒侵害。这意味着他们可以读取我通过 HTTPS 发送的所有加密包,包括这条消息。
如果这是真的,我可以解决这个问题吗?或者如果我错了请纠正我。
是的,如果您使用公司网络,进行 SSL 拦截的公司理论上可以读取您的所有流量。根据您居住的地方以及您有能力让公司执行此操作的合同类型,这也可能以某种方式成为合同或工作规则的一部分,其中可能还包括您只能使用公司网络来处理与工作相关的事情。
我可以解决这个问题吗?
是的,您可能会使用不同的机器和网络(例如手机)来处理与工作无关的私人流量。根据防火墙的配置,也可以使用一些 VPN 隧道穿过防火墙。但通常明确禁止这样做,因此您可能会因此而被解雇。
除了扫描恶意软件外,企业 IT 还使用 TLS 拦截来防止数据丢失 (DLP),例如。确保您没有通过您的个人电子邮件发送专有文件。
在大多数大中型公司,您必须签署“可接受使用政策”作为雇佣条件,该政策将明确规定他们可以监控您在公司发行的计算机和/或公司网络上所做的一切。它还可能包括对允许您在公司的计算机/网络上进行何种类型的个人活动的限制。如果确实如此,那么该政策可能会禁止您使用 VPN 等变通方法。
假设您为一家拥有此类政策以及监控和强制合规技术的大公司工作,我的建议是使用您自己的个人设备(即智能手机)处理个人事务,并且不要将您的设备连接到公司的网络。(一些公司为员工拥有的设备设置了一个单独的“开放”网络。)
能够“读取”你所有的加密通信并不一定意味着有人真的坐在电脑前查看你的数据。“中间人”通常是防火墙或代理设备,IT/安全管理员在其中创建规则来阻止或标记某些类型的内容。该设备以纯文本形式检查数据包,但通常不会暴露给活人。
也就是说,一般规则适用于你应该只在你的工作设备上做与工作相关的事情。即使您的流量没有被解密,您正在访问的站点的名称(尽管不是确切的 URI)仍然是可见的(通过SNI)。换句话说,即使通过 HTTPS,无论您是访问 Facebook 过多还是浏览 pr0n,您正在访问的网站列表对企业来说都是可见的,无论是否有东西拦截了证书。要聪明,只需将个人物品保存在个人设备上。