Sì.

Sì. (Se consideri "Gli amministratori della mia azienda possono modificare il traffico del mio (i) HTTP" compromissione.) Tranne alcuni programmi che ne bloccano l'uso e falliscono se viene utilizzato un altro certificato.

Questo è più o meno l'idea dell'ispezione SSL: apri SSL / TLS, fai qualche scansione anti-virus, chiudi di nuovo SSL / TLS.

E al posto di "fai un po 'di scansione anti-virus" puoi sostituire qualsiasi manipolazione del traffico, vuoi.

Ma d'altra parte: chiunque sia in grado di installare una CA radice sul proprio sistema ha già il potere di un superutente. Quindi c'è un milione di altri modi in cui possono interferire / ascoltare.

Tecnicamente, sì. Tuttavia, puoi comunque verificare se le tue connessioni sono state compromesse o meno:

1. Installa un browser Web che utilizza i propri bundle di certificati (anche il tuo datore di lavoro potrebbe vietarlo).

2. Connettiti a un sito attendibile utilizzando un computer attendibile (ad esempio a casa) e annota l'impronta digitale del certificato. Quando ti colleghi a quel sito al lavoro, controlla manualmente l'impronta digitale del certificato. Dovrai ripetere il controllo ogni volta per ogni pagina per essere sicuro e annotare nuove impronte digitali ogni volta che il sito aggiorna il suo certificato.

• Non è il tuo computer, è il suo computer.

• È non un compromesso perché possano prenderne il controllo.

Che cosa dovresti fare?

Se vuoi, ad es. mandate una email al vostro medico per la diagnosi del cancro senza avvisare il vostro datore di lavoro, dovreste farlo dal vostro smartphone, usando la connessione dati.

Non utilizzare computer da lavoro per uso personale, persone!

Questa non è una risposta autonoma, ma qualche commento in più sulla decrittazione TLS / SSL.

Prima di tutto, la tua azienda potrebbe non aver pubblicato un nuovo certificato CA radice per intercettare questo traffico. Potrebbero firmare software / plugin / ecc. che vogliono eseguire come codice fidato. Possono anche pubblicare certificati interni per siti HTTPS interni. Mentre questo cambiamento dà loro la possibilità di eseguire l'intercettazione man-in-the-middle del traffico TLS / SSL, potrebbero non farlo.

Potrebbero essere legalmente obbligati a notificare se stanno registrando il traffico HTTPS decrittografato. Anche se non sono obbligati a farlo, mi auguro che un buon reparto risorse umane rilasci una notifica che ciò si sta verificando.

Avendo lavorato con questo tipo di prodotto, molti strumenti di decrittografia TLS / SSL intenzionalmente evitano la decodifica di flussi che possono contenere informazioni sensibili (PII e PHI) perché l'entità che esegue la decrittazione si assume la responsabilità di proteggere tali dati e quindi qualsiasi potenziale responsabilità per la perdita di tali dati in caso di violazione o anche di perdite accidentali, che è un rischio che la maggior parte delle aziende (o almeno i loro consulenti legali) non accetteranno. Pertanto la tua connessione a bank.com o doctor.com potrebbe rimanere riservata, ma la tua connessione a onlinestorage.com o webmail.com potrebbe non essere possibile.

Esistono molti motivi legittimi per intercettare questo traffico (DLP, identificazione del traffico non autorizzato, altro filtro dei contenuti, controllo qualità / risoluzione dei problemi, ottimizzazione della rete, bilanciamento del carico, ecc.) e la maggior parte delle persone cerca di farlo in modo responsabile.