是的，SSL 检查本质上是一种中间人“攻击”（除了它不是真正的攻击，因为它是由基础设施所有者完成的），目的是能够读取来自您公司机器或交叉口的所有流量您的公司网络，即使正在使用 SSL。

因此，您不应该从您的公司发行机器或通过您的公司网络发送您不希望您的公司安全团队阅读的任何内容。

（无论如何，这是一个很好的一般规则。）

需要记住的其他几点：

• 合理的公司不会关心您的个人数据。
• 道德安全团队将竭尽全力避免看到个人数据
• 一个明智的公司会记录他们会做什么和不会做什么——看看已经发布了什么。
• 任何此类系统都存在很小但非零的风险，真正的攻击者会破坏监控系统。
• 公司安全团队还有其他方法可用于监控计算机的使用——例如，他们可以部署键盘记录器。

如果一个组织必须实施一个强大的数据丢失防护系统，他们将不得不查看所有内容 - 因此，即使他们正在实施 SSL 检查，这并不意味着他们有恶意。当然，对他们的员工来说并没有太多乐趣，这就是为什么透明度如此重要。

是的。通过该配置，WebSense 可以解密和分析数据。这是 WebSense 作为具有检查 SSL 连接能力的代理所做的。

1. 证书验证确保以下

   • 证书未过期
   • 证书未被吊销
   • 证书所有者和 URL 具有相同的身份
   • 证书由值得信赖的 CA 颁发

2. 网络安全管理员有权决定允许哪个站点而不是客户端。

   • 任何关于证书可信度的决定都必须由安全管理员单独做出。
   • 该规则的任何例外只能由安全管理员制定和允许。
   • 客户端工作站的用户只能请求例外，但不能提出例外。

3. 控制传输的数据

   • 数据可以被解密，从而检查恶意软件。

本网站上的一些 Security.SE 链接可能对您有所帮助：

• 已建立的 SSL 连接是否意味着线路真的很安全？

• Javascript/Flash 可以验证 SSL 连接以防止“SSL 检查”吗？

• 如何检查我是否有与网站的直接 SSL 连接？

• https://security.stackexchange.com/a/10105/396

• https://security.stackexchange.com/a/3859/396

当公司使用代理检查员工的ssl通信时，他们伪造目标（例如您的银行）证书，使员工认为他/她与银行通信，但实际上他/她与代理通信，代理在turn 与银行通信。代理将其自己的根证书用于员工代理路由。

当您尝试从公司计算机登录银行帐户时，会发生以下情况：

1. 登录请求使用公司的证书加密消息并将其发送到代理。
2. 代理在解密和检查之后（这可以完成，因为证书是由您的 IT 部门生成的，并且他们自然具有解密所需的私钥），“重新打包”消息并将其发送到银行。
3. 在（2）期间，代理返回给您银行登录页面，因此您认为您直接连接到银行。您可能会看到锁定图标，但这是假的 - 它是由代理的证书生成的。
4. 在检查阶段，公司可以清楚地阅读您的登录详细信息。

但是，您仍然可以以安全的方式连接到您的银行：

1. 如果您在公司网络上使用自己的计算机，那么当您进入银行登录页面时，请查看显示给您的实际证书（通常通过单击锁定图标），并将其指纹与您通过另一个指纹获得的指纹进行比较沟通渠道（例如，事先在家中收集所需的指纹并将它们写在一张纸上）。指纹不能被代理欺骗。

2. 如果您使用公司的计算机，您可能仍想比较指纹，但请记住这不是您的机器 - 公司可能安装了各种嗅探软件/记录器。不要在您无法完全控制的硬件+软件上做高度敏感的事情（操作系统或设备驱动程序的信任问题是另一个讨论的重要主题......）