L'emittente del certificato è una società di rete

Alcune aziende sono molto preoccupate per le informazioni che sfuggono sui siti dei social media. Per questo motivo inseriranno dei proxy che controllano il contenuto dei dati inviati ai social media. Quando lo fanno, emettono il proprio certificato e si comporta nel modo in cui descrivi.

È normale? Non per l'utente medio, ma sempre più normale negli ambienti aziendali

È ingannevole? Un po ', ma potresti essere stato informato di questo genere di cose in una politica aziendale

È illegale? Questo dipende molto dalla tua giurisdizione. Ma, come ho detto, sta diventando sempre più comune, e in molte giurisdizioni è legale (con o senza notifica).

L'altra domanda che devi porre è: "Qual è il mio rischio?" Ed eccolo qui: perché sono interessati al contenuto di ciò che pubblichi, è probabile che memorizzino, ispezionino e mettano in guardia su quel contenuto. Ciò significa che tutto ciò che pubblichi riguarda la tua azienda. Tutte le comunicazioni (a tali siti) non sono più private per te e per il tuo pubblico previsto, ma sono esposte a coloro che sono autorizzati a visualizzare tali informazioni nella tua azienda.

Negli Stati Uniti, la pratica potrebbe cadere in violazione della legge nazionale sulla privacy. Non posso dire con certezza, tuttavia ritengo che sia necessario dare un chiaro avviso a tutti gli utenti di una rete in cui il beneficio della privacy normalmente offerto da - e quindi normalmente previsto - una connessione protetta non è intatto.

Inoltre, v'è un rischio per la sicurezza a portata di mano: in base al fatto che si doveva chiedere informazioni su questo qui (emittente del certificato non è stato attendibile), sembra probabile che gli altri dipendenti, soprattutto quelli che non sono così scettici come tu, nel tempo, diventerai desensibilizzato a quegli avvertimenti, dando infine per scontata la validità di qualsiasi certificato non valido emesso sotto quel nome . C'è la possibilità che qui un'altra macchina sulla rete intercetterà il traffico con i certificati non attendibili sotto lo stesso nome, e potenzialmente causare ancora più danni che le infrazioni solo occasionali giorno per giorno in materia di privacy dei dipendenti.

Se non è illegale, è certamente almeno una pratica immorale e potenzialmente dannoso nel caso in cui la divulgazione dell'atto non è dato agli utenti della rete, e soprattutto dove gli utenti della rete non sono nemmeno informato su come aggiungere il CA come emittente di fiducia.

Generalmente non vogliono incoraggiare le persone che accedono ai siti esterni con il metodo standard adeguato in quanto vi è la possibilità che causino molti problemi quali violazione delle norme, attacchi dannosi e perdita di dati. Per proteggerli dal mondo esterno, possono avere server di terze parti che possono essere proxy o che mai (l'azienda ha acquistato) controllerà l'analisi completa dei pacchetti e crittograferà i contenuti sulla propria configurazione della CA configurata sul server di terze parti. Server come Blue Coat, FireEye, Websense, ecc.