Al lavoro, il mio datore di lavoro utilizza un certificato radice autofirmato per MITM tutto il nostro traffico SSL / TLS. Molti dei nostri certificati interni utilizzati da vari micro-servizi e siti Web interni sono inoltre firmati da questo certificato.
Non ho alcun problema con questa pratica in quanto è la loro rete e le attrezzature.
Recentemente, è stata presa la decisione di passare da Citrix a VPN per l'accesso remoto. Come parte della configurazione VPN, il mio datore di lavoro installa il certificato di root autofirmato nell'archivio certificati attendibili.
Sono preoccupato che questo almeno potenzialmente dia al personale interno dell'azienda la possibilità di decifrare il traffico crittografato dal mio computer di casa. Il certificato è un certificato PKS # 7 firmato e rilasciato alla stessa entità.
Non c'è stata trasparenza in questo processo e mi sembra molto ombreggiato. Ho chiesto informazioni su eventuali potenziali problemi di sicurezza che potrebbero avere effetto, ma mi è stato detto che dal momento che il certificato è emesso da una "fonte attendibile" le mie preoccupazioni sono infondate. Non sono un addetto alla sicurezza, ma affermare che questo è emesso da una "fonte attendibile" sembra un tratto.
La mia domanda è, è questa pratica normale o accettabile e c'è qualcosa di cui dovrei preoccuparmi?
Non mi piace l'idea che qualcuno abbia il potenziale per spiare il traffico Internet della mia famiglia senza divulgazione né politica.
Sono irragionevole?
Grazie in anticipo.