Pourquoi le certificat d'émetteur est-il différent sur mon lieu de travail et à la maison?
J'ai vu la chaîne de certificats de Gmail sur mon lieu de travail et j'ai réalisé que c'était différent. Cela ressemble à ceci:
Root CA
Operative CA1
___________.net
mail.google.com
Lorsque je reçois la chaîne de certificats à la maison, cela ressemble à ceci:
GeoTrust Global CA
Google Internet Authority G2
*.google.com
Évidemment, ces certificats sont délivrés par ma société. J'ai récemment lu un autre fil sur security.stackexchange, et ils ont dit que la société espionne (en utilisant un proxy MITM) les communications HTTPS pour protéger le réseau interne et la machine client contre les virus. Cela signifie qu'ils peuvent lire l'intégralité du paquet crypté qui a été envoyé via HTTPS, y compris ce message également.
Si cela est vrai, puis-je contourner ce problème? Ou corrigez-moi si je me trompe.
Oui, une entreprise faisant de l'interception SSL pourrait en théorie lire tout votre trafic si vous utilisez le réseau de l'entreprise. Selon l'endroit où vous vivez et le type de contrat que vous avez la possibilité pour l'entreprise de faire, cela peut également faire partie du contrat ou des règles de travail, qui peuvent également inclure que vous n'êtes autorisé à utiliser le réseau de l'entreprise que pour des tâches liées au travail.
puis-je contourner cela?
Oui, vous pouvez utiliser une machine et un réseau différents comme votre téléphone mobile pour votre trafic privé et non lié au travail. Selon la configuration du pare-feu, il peut également être possible d'utiliser un tunnel VPN via le pare-feu. Mais il est généralement explicitement interdit de le faire, vous risquez donc d'être licencié pour cela.
En plus de rechercher les logiciels malveillants, l'informatique d'entreprise utilise également l'interception TLS pour la prévention de la perte de données (DLP), par exemple. en vous assurant que vous n'envoyez pas de documents exclusifs via votre e-mail personnel.
Dans la plupart des moyennes et grandes entreprises, vous devez signer une "politique d'utilisation acceptable" comme condition d'emploi, et cette politique indiquera explicitement qu'ils sont autorisés à surveiller tout ce que vous faites sur un ordinateur émis par l'entreprise et/ou le réseau de l'entreprise. Cela peut également inclure des restrictions sur le type d'activités personnelles que vous êtes autorisé à faire sur l'ordinateur/réseau de l'entreprise. Et si c'est le cas, la politique vous interdit probablement de contourner des problèmes tels qu'un VPN.
En supposant que vous travaillez pour une grande entreprise qui a ce type de politique en place et également la technologie pour surveiller et faire respecter la conformité, ma recommandation est d'utiliser votre propre appareil personnel pour des questions personnelles (par exemple un smartphone) et de ne pas connecter votre appareil à l'entreprise réseau. (Certaines entreprises ont un réseau "ouvert" distinct pour les appareils appartenant aux employés.)
Être capable de "lire" toutes vos communications cryptées ne signifie pas nécessairement que quelqu'un est littéralement assis devant un ordinateur et regarde vos données. "L'homme au milieu" est généralement un pare-feu ou un proxy, où les administrateurs informatiques/sécurité créent des règles pour bloquer ou signaler certains types de contenu. L'appliance inspecte les paquets en texte brut, mais elle n'est généralement pas exposée à un être humain vivant.
Cela dit, la règle générale s'applique que vous ne devez effectuer des tâches liées au travail que sur vos appareils de travail. Même si votre trafic n'est pas décrypté, le nom du site que vous visitez - mais pas l'URI exact - est toujours visible (via SNI ). En d'autres termes, même via HTTPS, que vous visitiez trop Facebook ou que vous naviguiez sur pr0n, la liste des sites que vous visitez est visible aux yeux des entreprises, avec ou sans interception du certificat. Soyez intelligent et gardez simplement vos affaires personnelles sur des appareils personnels.