前几天我正在阅读“ https 是否可以防止中间人通过代理服务器进行攻击? ”。让我引用几行:
SSL 拦截业务中的大腕 Blue Coat 远不是唯一一家提供 SSL 拦截和破解的公司。例如,直到最近,Microsoft 才会向您出售一个程序 Forefront Threat Management Gateway 2010,它也可以为您完成这项工作。有了 SSL 拦截代理程序或设备,这就是真正发生的事情
如果您的公司正确设置了代理,您将不会知道有任何问题,因为他们会安排在您的机器上注册代理的内部 SSL 证书作为有效证书。如果没有,您将收到一条弹出错误消息,如果您单击继续,将接受“假”数字证书。在任何一种情况下,您都会获得与代理的安全连接,它会获得与外部站点的安全连接——并且通过代理发送的所有内容都可以以纯文本形式读取。哎呀。
因此,如果我正确理解了我所有的私人信息,如银行凭证、Facebook、邮件等,甚至可以在我不知情的情况下轻松拦截。
如果这是真的,我如何知道我的公司或我的 ISP 是否有代理并窃听我的所有敏感数据?
正如您链接到的帖子所解释的那样,代理将解密所有流量,然后再次对其进行加密,但使用另一个证书进行签名。因此,您收到的证书将与网站发送的证书不同。因此,检测这种情况的一种方法是将您从公司网络访问网站时获得的证书与您从该网络外部(例如在家)访问时获得的证书进行比较。
所有浏览器都具有查看证书指纹的功能。在 Chrome 中,单击 URL 栏中的绿色锁,然后单击“信息”,最后单击“查看证书”。
不过有一些注意事项:
那么你如何绕过这些警告呢?您必须通过操作系统和浏览器(如果它使用自己的)中的信任库来查看是否已在其中添加任何证书。有关如何执行此操作的说明,请参阅此问题。
最后,应该指出的是,TSL 拦截对于雇主来说是完全合法的事情。而且由于您可能正在使用您的雇主在工作中提供给您的计算机,因此他们可以通过许多其他方式监控您的浏览习惯以及您在计算机上执行的任何其他操作,而无需依赖代理服务器。因此,如果您想要隐私,请不要使用您的工作计算机或网络。
虽然您的雇主可能有正当理由这样做,但您的 ISP 肯定没有。幸运的是,他们不能轻易做到这一点。为什么?答案在你的报价中:
如果您的公司正确设置了代理,您将不会知道有任何问题,因为他们会安排在您的机器上注册代理的内部 SSL 证书作为有效证书。如果没有,您将收到一条弹出错误消息,如果您单击继续,将接受“假”数字证书。
由于您的 ISP 不控制您的计算机,因此他们无法安装根证书(除了让您安装)。因此,每次通过 HTTPS 访问站点时,您都会收到证书不正确的警告。换句话说,不是很隐蔽。
如果您仍然担心有人可能将根证书偷偷带入您的信任库,您可以使用上述方法进行检查。但是您需要将您从计算机上获得的证书与另一个 ISP 进行比较,最好是在另一个国家/地区。或者您可以将它们与使用 HPKP 的网站的预加载公钥 pin 进行比较。
