由于我对 HTTPS/TLS 工作原理的理解有限,最终用户(我)启动了与远程服务器的连接,该服务器使用公钥签署其每条消息。可以通过检查证书来(神奇地)验证此公钥,该证书由保证该证书完整性的 CA 签名。
这样做的结果是,如果我信任一个 CA,该 CA 可以签署任何证书并说它是有效的,我的机器就可以使用它;如果将流氓 CA 添加到我计算机的受信任注册表中,那么任何知道该流氓 CA 的人都将能够获得他们的证书签名并冒充 - 可能 - 任何网站并执行中间人攻击。
我的公司刚刚将他们自己的证书作为根 CA 添加到网络中的所有计算机。因此,我是否应该假设我发送的所有流量都受到了损害?
是的。(如果您考虑“我公司的管理员可以更改我的 HTTP(s) 流量”妥协。)除了一些固定其证书使用并在使用另一个证书时失败的程序。
这几乎就是 SSL 检查的想法:打开 SSL/TLS,进行一些防病毒扫描,再次关闭 SSL/TLS。
代替“做一些反病毒扫描”,您可以替换任何您想要的流量操作。
但另一方面:可以在您的系统上安装根 CA 的人已经拥有超级用户权限。所以还有一百万种其他方式可以干扰/收听。
从技术上讲,是的。但是,您仍然可以验证您的连接是否受到损害:
安装一个使用自己的证书包的网络浏览器(你的雇主也可能禁止这样做)。
使用受信任的计算机(例如在家中)连接到受信任的站点并记下证书指纹。当您在工作中连接到该站点时,请手动检查证书指纹。您必须每次为每个页面重复检查以确保每次站点更新其证书时都记录新的指纹。
不是你的电脑,是他们的电脑。
他们控制它并不是妥协。
那你该怎么办?
如果您想在不通知雇主的情况下通过电子邮件向您的医生发送癌症诊断信息,您应该通过智能手机使用数据连接进行操作。
不要将工作计算机用于个人用途,人们!
这并不是一个真正独立的答案,而是对 TLS/SSL 解密的更多评论。
首先,您的公司可能没有发布新的根 CA 证书来拦截此流量。他们可能正在签署软件/插件/等。他们希望作为受信任的代码运行。他们也可能会发布内部 HTTPS 站点的内部证书。尽管此更改确实使他们能够执行中间人拦截 TLS/SSL 流量,但他们可能不会这样做。
如果他们正在记录您解密的 HTTPS 流量,他们可能会被法律要求通知您。即使他们没有被要求,我希望一个好的人力资源部门会发出一些通知,说明这种情况正在发生。
在使用过此类产品后,许多 TLS/SSL 解密工具有意避免解密可能包含敏感信息(PII 和 PHI)的流,因为执行解密的实体将承担保护该数据的责任,因此对丢失的任何潜在责任在数据泄露甚至意外泄漏的情况下,这是大多数公司(或至少是他们的法律顾问)不会接受的风险。因此,您与 bank.com 或 doctor.com 的连接可能会保密,但您与 onlinestorage.com 或 webmail.com 的连接可能不会。
拦截此流量有很多正当理由(DLP、识别未经授权的流量、其他内容过滤、QA/故障排除、网络优化、负载平衡等),并且大多数人确实尝试以负责任的方式进行。