Generalmente questo è possibile perché l'azienda controlla i dispositivi soggetti a monitoraggio, quindi può istruire i dispositivi a fidarsi del proprio certificato CA.
To make the PC trust the gateway CA certificate:
- Export the CA certificate from the SmartDashboard (on the HTTPS
Inspection window of the Security Gateway, or on the HTTPS Inspection > Gateways pane).
2 . Install the certificate on the user's PC:
Manually put the certificate file in the user's PC. Click the file and
follow the wizard instructions to add the certificate to the trusted
root certificates repository on client machines.
Use GPO or group policy to distribute the certificate to a large group
of users. See the documentation for more details.
link
Possono quindi intercettare l'handshake TLS e sostituire il certificato con uno generato e firmato autonomamente e di cui il dispositivo si fida. Possono quindi agire da man-in-the-middle, decrittografando il tuo traffico prima di inviarlo alla destinazione legittima.
is my ISP likely doing this as well?
No, il tuo ISP non è in una posizione in cui ha accesso ai tuoi dispositivi, quindi non possono installare il loro certificato CA di fiducia.
Inoltre, alcuni client (ad esempio alcune app mobili e alcuni browser in alcune circostanze) "pin" i certificati, il che significa che accetteranno solo un certificato firmato da una particolare CA. In questo scenario non accetteranno i certificati generati dalla tua azienda.