这不是一个严格的法律或技术问题，而是一个意见问题——“可以​​接受吗？” 你能接受吗？

不过，您提出了一个完全合理的技术观点——系统存储中的根证书允许该证书的控制器通过 MitM 技术潜在地模拟和拦截您的任何 SSL/TLS 流量。

从实际的角度来看，我认为它应该属于贵公司的 BYoD 政策。您可以请求公司拥有的笔记本电脑供家庭使用，并且仅将其用于 VPN 访问。或者，由于您的顾虑，您无法在您的 hom 机器上安装 VPN 客户端。您的雇主不能要求您使用自己的个人机器，但他们的政策可能确实涵盖了诸如如果您要在工作资源上使用个人机器，您必须执行 X、Y 或 Z 以保护它们。并且安装用于 VPN 访问的根证书可能会在这些条件下。

最终，决定权在你。如果你觉得潜在的风险比你想象的要大，我会：请求一台公司机器只在家里使用 VPN，购买另一台家用机器，将它与网络的其余部分隔离，然后在上面安装 VPN ，或者在家中没有 VPN 访问权限。或者，也许您可​​以使用免费的 VirtualBox 或 VMWare 播放器在您的一台家用计算机上启动“仅工作”虚拟机，然后在其中安装 VPN？

我同意“不透明”和“感觉非常阴暗”的部分令人担忧，但在大多数情况下，我会将其归因于冷漠而不是恶意意图。大多数人甚至不知道什么是根证书，或者为什么将它们安装在公司的say-so 上可能不是一个好主意。该公司可能并没有隐藏一些邪恶的计划，但 IT 人员只是想解决“让人们在家中访问”的问题，这就是他们如何做到的。

结论：你不讲道理吗？不，但是你正在为自己做更多的工作，如果你有顾虑，这是一件合理的事情。除了不使用/安装 VPN 之外，我怀疑您是否有任何特别的支持可以反击

是的，将您不信任的根 CA 证书安装到计算机上的密钥库是有风险的。

这将使他们能够轻松地 MITM 任何通过 VPN 隧道的流量，即使是这样配置的 VPN 路由也可以到达互联网。与真正的 CA 相比，他们对内部 CA 证书密钥的控制可能要严格得多。

同时，他们在您的家用计算机上安装的任何程序都存在与内部证书相同或可能更大的隐私风险。想到 VPN 客户端，但切换到 VPN 意味着他们希望您在家中运行他们的软件。这与使用从 Citrix 下载的 Citrix 产品不同。

你要么相信他们，要么不相信他们。如果您不信任它们，请考虑在单独路由的子网上使用 VM 或第二台计算机。另一种选择可能是使用像 Amazon WorkSpaces 这样提供云托管桌面的服务。

我想说两件事。

首先，您永远不必担心根证书会以任何方式被用于恶意目的。由于私钥通常放在只有您的 IT 部门或管理员可以访问的设备中，因此您可以保持安全。IT 部门或管理员也可能有一个特定的过程（“可信来源”）来设置这些根 CA，我没有看到任何问题。

然后，他们是否能够在您不工作时窥探流量，取决于两件事，如果这两者之一有效，他们将能够窥探流量。第一个是强制使用 VPN，例如，如果 VPN 未开启，您将无法使用您的计算机。他们可以窥探流量的第二种情况是，如果公司拥有的某个代理在您的计算机中被设置为系统代理。请注意，“窥探”并不是说他们会使用wireshark查看您的信用卡号，我只是说安全扫描程序将阻止最终的病毒和被禁止的页面，并记录您访问的页面。

如果它可以接受与否，一般来说，我会得出两个结论：

如果“窥探”或“扫描”仅在您真正在家工作时才有效，而不是在 VPN 处于非活动状态时才有效，我会说它总是可以接受的。然后，您可以随时“卧底”。并不是因为他们的 SSL 根证书安装在您的计算机上，他们就有可能窥探，他们必须能够进入一个位置，以便他们也能够“MITM”流量。像带两把锁的保险箱一样思考。一个密钥是根证书。另一个关键是他们是否可以控制您的流量。他们必须拥有两把钥匙才能打开保险箱，只有一把钥匙是不够的。

如果“窥探”或“扫描”始终处于开启状态，并且您无法将其关闭（例如强制 VPN，或通过组策略锁定的代理设置），我会说，这取决于具体情况。想象一下，您正在处理一些非常机密的数据，例如防御信息。在这种情况下，即使您不在家工作，甚至要求您的家用计算机也是工作中 IT 政策的一部分，这是合理的，这意味着您不得在家中访问任何“禁止”网站任何一个。原因是机密信息泄露的高风险。在这种情况下，机密信息泄露的风险非常高。想想你不经意间在家里的电脑上写了一个与工作相关的笔记，让我们说一个提醒，而你没有 t意识到它在您的计算机上出现了问题，导致泄漏。这就是为什么工作场所要求您的计算机成为其 DLP 和病毒扫描解决方案的一部分的原因。- 如果你不喜欢它，请辞掉你的工作。就那么简单。