Perché il certificato emittente è diverso sul mio posto di lavoro ea casa?

Naviga le tue risposte
40

Ho visualizzato la catena di certificati di Gmail sul mio posto di lavoro e ho capito che è diverso. Sembra così: 

Root CA
   Operative CA1
      ___________.net
         mail.google.com

Quando ottengo la catena di certificati a casa, appare come questa: 

GeoTrust Global CA
   Google Internet Authority G2
      *.google.com

Ovviamente questi certificati sono emessi dalla mia azienda. Recentemente ho letto un altro thread su security.stackexchange e hanno detto che la società sta intercettando (utilizzando un proxy MITM) le comunicazioni HTTPS per proteggere la rete interna e il computer client dai virus. Ciò significa che possono leggere il mio tutto il pacchetto crittografato che è stato inviato tramite HTTPS, incluso questo messaggio.

Se questo è vero, posso aggirare questo? O per favore correggimi se sbaglio.

    
posta ampika 21.02.2017 - 10:01
fonte

3 risposte

50

Sì, un'azienda che esegue intercettazioni SSL potrebbe in teoria leggere tutto il traffico se si utilizza la rete aziendale. A seconda di dove vivi e di quale tipo di contratto hai la capacità dell'azienda di farlo, potrebbe anche essere in qualche modo parte del contratto o delle regole di lavoro che potrebbero anche includere il fatto che sei autorizzato a utilizzare la rete aziendale solo per questioni correlate al lavoro.

can I workaround this?

Sì, potresti utilizzare una macchina diversa e una rete come il tuo cellulare per il tuo traffico privato, non relativo al lavoro. A seconda della configurazione del firewall, potrebbe anche essere possibile utilizzare alcuni tunnel VPN attraverso il firewall. Ma di solito è esplicitamente vietato farlo, quindi rischi di essere licenziato per questo.

    
risposta data 21.02.2017 - 10:14
fonte
9

Oltre alla scansione per malware, l'IT aziendale utilizza anche l'intercettazione TLS per la prevenzione della perdita di dati (DLP), ad es. assicurandoti di non inviare documenti proprietari tramite la tua e-mail personale.

Nella maggior parte delle aziende medio-grandi, è necessario sottoscrivere una "Politica d'uso accettabile" come condizione per l'impiego e tale politica dichiarerà esplicitamente che è consentito monitorare tutto ciò che si fa su un'azienda -computer computer e / o rete aziendale. Può anche includere restrizioni sul tipo di attività personali che è permesso fare sul computer / rete dell'azienda. E se lo fa, allora la politica probabilmente ti vieta da soluzioni alternative come una VPN.

Supponendo che tu lavori per una grande azienda che ha questo tipo di politica in atto e anche la tecnologia per monitorare e far rispettare la conformità, la mia raccomandazione è quella di utilizzare il tuo dispositivo personale per questioni personali (es. smartphone) e non connettere il tuo dispositivo alla rete dell'azienda. (Alcune aziende hanno una rete "aperta" separata per i dispositivi di proprietà dei dipendenti.)

    
risposta data 21.02.2017 - 18:02
fonte
7

Essere in grado di "leggere" tutte le comunicazioni crittografate non significa necessariamente che qualcuno è letteralmente seduto al computer e sta guardando i dati. Il "man in the middle" è in genere un dispositivo firewall o proxy, in cui gli amministratori IT / sicurezza creano regole per bloccare o contrassegnare determinati tipi di contenuto. L'appliance ispeziona i pacchetti in testo normale, ma in genere non è esposto a un essere umano vivo.

Detto questo, la regola generale si applica al fatto che dovresti fare cose legate al lavoro solo sui tuoi dispositivi di lavoro. Anche se il tuo traffico non viene decodificato, il nome del sito che stai visitando, anche se non l'URI esatto, è ancora visibile (tramite SNI ). In altre parole, anche su HTTPS, sia che tu stia visitando Facebook troppo o curiosando, l'elenco dei siti che stai visitando è visibile agli occhi dell'azienda, con o senza qualcosa che intercetta il certificato. Sii intelligente e mantieni le cose personali sui dispositivi personali.

    
risposta data 21.02.2017 - 18:33
fonte

Leggi altre domande sui tag

La raccomandazione OWASP relativa a localstorage è ancora valida? Come posso verificare in sicurezza se esiste un nome utente?