Il datore di lavoro vuole che io installi il certificato di origine per lavorare in remoto - problemi di privacy?

4

Il mio nuovo datore di lavoro vuole che installi un certificato di root sul mio computer come affidabile per poter lavorare in remoto. Credo che sia di utilizzare Cisco AnyConnect VPN. Non ho una chiara comprensione di come funzionano, quindi ho voluto venire qui per avere qualche consiglio. Sembra che potrebbero monitorare il mio traffico web facendomi installare questo certificato di root corretto? Se potessero raccogliere informazioni sulle mie abitudini di navigazione o su cosa sto facendo nel mio tempo libero preferirei avere un nuovo computer dedicato esclusivamente al lavoro.

Non sono sicuro che un certificato root affidabile possa essere abusato in questo modo.

Modifica: si trova sul mio computer personale personale, non su un computer di lavoro. Voglio assicurarmi che il mio datore di lavoro non possa visualizzare i miei file personali o le mie abitudini di navigazione su Internet.

Secondo le istruzioni, vogliono che io installi da loro un certificato radice di fiducia (il datore di lavoro). Dicono che potrei avere degli avvertimenti quando lo sto installando ma per ignorarlo.

Da quanto ho capito sembra che il certificato di root sia per accedere alla VPN. Mi scuso se questo non ha senso, non ne so molto io stesso ed è stato molto difficile trovare informazioni su google per determinare se i certificati di root di fiducia possono essere sfruttati o se è giusto installarlo sul tuo personal computer.

Le informazioni del certificato di root sembrano essere associate alle informazioni di vpn nel manuale, quindi ho pensato che fosse necessario autorizzarti ad accedere al sito Web / server dell'azienda tramite AnyConnect.

Il mio obiettivo è che quando sono non connesso a AnyConnect, il mio datore di lavoro non può vedere quali siti web visito. Inoltre, non vorrei che vedessero quali file ho sul mio PC in qualsiasi momento (se sono connesso a AnyConnect o no). Fondamentalmente non ho alcun problema con il mio datore di lavoro che controlla su quali siti web vado quando uso anyconnect, ma nel mio tempo privato non voglio che abbiano accesso a questo perché è privato.

Grazie per il consiglio su come ottenere una nuova macchina. Si spera che il loro monitoraggio si estenda al PC solo con il certificato di fiducia e non con la rete wireless attiva.

Modifica 2: Grazie per le risposte a tutti. Da quello che ho ricavato da tutte le risposte combinate è che quando connesso alla VPN, l'azienda può visualizzare il mio traffico internet. Quando non sono connesso alla VPN, generalmente non lo fanno, a meno che non vogliano essere subdoli (improbabile ma comunque una possibilità). Penso che in questo caso sembrerebbe l'opzione più sicura acquistare un pc di lavoro separato. Grazie per tutto il tuo aiuto!

    
posta restoraider 18.10.2017 - 16:06
fonte

3 risposte

2

L'installazione di un certificato di origine sul computer renderà la tua macchina implicitamente attendibile sui certificati firmati da tale CA radice. Se non capisci cosa significa, dovresti leggere le basi dei certificati e TLS.

It seems like they could monitor my web traffic by having me install this root certificate is that correct?

Quando comunichi con la loro VPN, saranno in grado di decifrare quel traffico. Questo è un po 'il punto. Altrimenti non sarai in grado di comunicare con loro. Se stai passando attraverso la loro VPN verso Internet, il tuo traffico probabilmente passerà attraverso un proxy. Poiché si ritiene che il loro certificato di origine sia considerato come un'autorità di certificazione (CA), tale proxy può emettere certificati per qualsiasi dominio con cui ci si connette. Quindi vedrai un lucchetto verde o qualcosa del tuo browser, ma se guardassi la catena di certificati mostrerebbe la compagnia come autorità. Ad esempio, quando sono al lavoro, quando guardo la catena di certificati per questo sito, è stata emessa dalla CA della mia società. Questa è davvero una cosa legittima da fare per l'azienda. Sei nella loro rete e hanno tutti i motivi per cui devi vedere cosa stai facendo.

Quando non sei sulla VPN, ti fiderai ancora della loro CA ma non sarai forzato attraverso il loro proxy su Internet. Quindi quando vai su google, vedrai che il loro certificato è emesso da qualche altra CA di cui ti fidi e non dalla CA della società. La compagnia non può decifrare questo traffico. Tuttavia, se lo volessero davvero, è possibile impostare un sito falso usando i loro certificati e con vari mezzi ingannare l'utente nel pensare che fosse veramente google (per esempio) e vedere cosa stai cercando. A meno che non si tratti di una società losca, penserei che uno scenario del genere sarebbe improbabile.

Se hanno installato un software speciale su questa macchina, tuttavia, potrebbero monitorare tutte le tue attività e / o controllare a distanza il tuo computer.

    
risposta data 18.10.2017 - 16:46
fonte
0

Sì, potrebbero "vedere" il traffico crittografato utilizzando i certificati creati dal loro certificato di origine. Potrebbero anche filtrare o manomettere il traffico. È probabile che vogliano che questo sia installato affinché il loro firewall / AV sia in grado di ispezionare il traffico per assicurarsi che sia sicuro e conforme ai criteri.

Una volta connessi alla rete, potrebbero fare un sacco di cose alla tua macchina. Rischi anche di rompere le politiche aziendali facendo cose sul tuo laptop che potrebbero non approvare. Sei saggio a guardare usando una macchina diversa.

    
risposta data 18.10.2017 - 16:10
fonte
0

Il tuo datore di lavoro ti ha chiesto di installare un certificato di origine per potersi connettere alla società e probabilmente il tuo traffico Internet viene instradato attraverso il loro proxy fintanto che la VPN è connessa. I proxy creati da Bluecoat e Ironport sono in grado di ispezionare il traffico (per malware, ecc.) È possibile ispezionare il certificato di origine e verificare l '"emittente", questo potrebbe mostrare la marca di tale proxy. L'amministratore di sistema del tuo datore di lavoro può firmare i certificati di qualsiasi sito Web o server di posta e spiare il tuo traffico mentre usi la VPN. Cripta la tua email con pgp per evitare lo snooping.

Off-vpn potresti essere attirato dai siti falsi dell'azienda. Per evitare questo rischio potresti usare Firefox senza il loro certificato di root. Firefox gestisce i certificati di root indipendenti dal sistema operativo. Il rischio che il tuo datore di lavoro firmi i certificati di altri siti Web tocchi il lato politico della crittografia, del tuo sistema legale e degli obiettivi / finalità del tuo datore di lavoro.

    
risposta data 18.10.2017 - 18:05
fonte

Leggi altre domande sui tag