職場と自宅で発行者証明書が異なるのはなぜですか?
職場でGmailの証明書チェーンを確認しましたが、それが異なることに気付きました。次のようになります。
Root CA
Operative CA1
___________.net
mail.google.com
自宅で証明書チェーンを取得すると、次のようになります。
GeoTrust Global CA
Google Internet Authority G2
*.google.com
もちろん、これらの証明書は私の会社によって発行されたものです。最近、security.stackexchangeの他のスレッドを読んだところ、同社は内部ネットワークとクライアントマシンをウイルスから保護するために、HTTPS通信を(MITMプロキシを使用して)盗聴していると述べました。つまり、このメッセージも含め、HTTPS経由で送信された暗号化されたパッケージをすべて読むことができます。
これが本当なら、これを回避できますか?または、間違っている場合は修正してください。
はい、SSLインターセプトを行う企業は、理論的には企業ネットワークを使用している場合、すべてのトラフィックを読み取ることができます。住んでいる場所や会社がこれを行うことができる契約の種類によっては、何らかの形で契約または作業規則の一部である可能性もあります。これには、仕事に関連するものに対してのみ会社のネットワークの使用が許可されていることも含まれます。
これを回避できますか?
はい、携帯電話のような別のマシンとネットワークを、仕事に関係のないプライベートなトラフィックに使用する可能性があります。ファイアウォールの構成によっては、ファイアウォールを通過するVPNトンネルを使用することもできます。ただし、通常、これを行うことは明示的に禁止されているため、このために解雇される危険があります。
マルウェアのスキャンに加えて、企業ITはデータ損失防止(DLP)にTLSインターセプトも使用しています。専有ドキュメントを個人の電子メールで送信していないことを確認してください。
ほとんどの中規模から大規模の企業では、雇用条件として「利用規定」に署名する必要があります。そのポリシーには、会社が発行したコンピューターでの監視が許可されていることが明示的に記載されていますすべてのことおよび/または会社のネットワーク。また、会社のコンピュータ/ネットワーク上で許可されている個人的な活動の種類に関する制限も含まれる場合があります。そうである場合、ポリシーはおそらくVPNなどの回避策を禁止します。
このタイプのポリシーがあり、コンプライアンスを監視および適用するテクノロジーもある大企業で働いていると仮定すると、個人的な問題(スマートフォンなど)には自分の個人用デバイスを使用し、デバイスを会社の会社に接続しないことをお勧めします通信網。 (企業によっては、従業員が所有するデバイス用に別個の「オープン」ネットワークを持っています。)
暗号化されたすべての通信を「読み取る」ことができるからといって、誰かが文字通りコンピュータの前に座ってデータを見ているわけではありません。 「中間者」は一般にファイアウォールまたはプロキシアプライアンスであり、IT /セキュリティ管理者は特定のタイプのコンテンツをブロックまたはフラグを付けるルールを作成します。アプライアンスはパケットをプレーンテキストで検査しますが、通常は生きている人間に公開されません。
とはいえ、一般的な規則は、仕事に関連することだけを仕事用デバイスで行うべきであるということです。トラフィックが復号化されていなくても、正確なURIではありませんが、訪問しているサイトの名前は表示されます( [〜#〜] sni [〜#〜] を介して)。言い換えると、HTTPSを介しても、Facebookにアクセスしすぎている場合でも、pr0nを参照している場合でも、証明書を傍受するものの有無にかかわらず、アクセスしているサイトのリストは企業の目に表示されます。スマートになり、個人的なものを個人的なデバイスに保管してください。