Recentemente ho iniziato un nuovo contratto di consulenza. La società per cui lavoro mi ha chiesto di installare manualmente un certificato radice seguito da un certificato client per connettersi al loro sito web di lavoro. Sono su Mac e utilizzo Chrome come browser predefinito. Guardando nelle impostazioni di Chrome c'è un link per gestire i certificati. Facendolo clic si apre l'app Mac Keychain Access. Aggiungendo il certificato radice ci dice
Company Name CA
Root certificate authority
Expires: Sunday, December 7, 2020 17:02:50 Pacific Standard Time
"Company Name CA" certificate is not trusted
Leggendo altri Q & A questo sembra male
Fondamentalmente quando sono sulla loro rete possono leggere tutto il mio traffico internet. Non che mi aspetto che lo facciano, è una piccola azienda non IT. Ma ancora, non mi piace l'idea.
Per ora installerò una VM e installerò il certificato di root in questo e useremo la VM esclusivamente per accedere al loro sito.
La mia domanda è: è la loro soluzione che avrebbero potuto usare che limiterebbe le cose in modo che il loro certificato di root funzionasse solo con il loro dominio / indirizzo IP piuttosto che avere un certificato di root e tutti i problemi che ciò comporta?
Dato che l'autenticazione avviene con il loro certificato cliente, suppongo che il certificato radice sia necessario solo per convalidare il certificato cliente. Se è così è un loro altro modo in cui avrebbero potuto / avrebbero dovuto generare un cert client che non avrebbe richiesto l'installazione di un certificato di root?