Sto usando mail.com su HTTPS. Ho inviato una mail e sono stato collegato tramite il mio accesso alla società VPN. È possibile che l'amministratore della mia azienda possa leggere i miei messaggi? Ho usato Firefox / Webbrowser Login di mail.com
Sì. Nel tuo caso, dal momento che la VPN si connette alla tua azienda, è possibile che possano avere visibilità sul tuo traffico web in uscita. Vederanno qualsiasi cosa su HTTP semplice, ma molte aziende al giorno d'oggi stanno violando SSL / TLS ai loro confini per controllarlo. Un buon indicatore per verificare se lo stanno facendo è andare in un sito che utilizza HTTPS (come Google) e quindi fare clic sull'icona del lucchetto nel browser per visualizzare il certificato. Se il certificato non ha le informazioni di Google in tutti i campi, significa che stanno decodificando HTTPS e possono vedere il tuo traffico.
Molte aziende installano i propri certificati SSL CA in modo che possano decrittografare il traffico HTTPS
. Questo essenzialmente consente all'azienda di eseguire un attacco Man In The Middle sulla connessione HTTPS
crittografata e leggere il traffico in testo semplice.
Se stai utilizzando un computer fornito e configurato dalla tua azienda, è possibile che abbia installato uno di questi certificati sul tuo computer. Se questo è il tuo PC personale e la tua azienda non ha mai installato software o configurato in altro modo, è improbabile che abbiano installato il proprio certificato CA falso.
Dovresti essere in grado di controllarlo da solo. Dovrai visitare il sito dei tuoi provider di posta elettronica ed esaminare il certificato ricevuto. Questo viene fatto in modi diversi in diversi browser. In Chrome, premi F12
, nella console che è stata creata vai alla scheda sicurezza e fai clic su visualizza certificato.
Per Mail.com a partire da maggio 2018, vedo:
Common Name (CN) GeoTrust RSA CA 2018
Organization (O) DigiCert Inc
Organizational Unit (OU) www.digicert.com
DigiCert è un'autorità di certificazione legittima.
Se è emesso da un'autorità di certificazione legittima come Digicert sopra, la tua posta non può essere vista dalla tua azienda. Se viene emesso da qualcos'altro, come la tua azienda o un'altra CA falsa creata da un dispositivo di rete, la tua azienda può potenzialmente leggere la tua email.