公司电脑内置以公司名字命名的根证书

2016-12-05 12:57:38 +08:00
 Jasmine2016

今天在删沃通根证书的时候,偶然发现电脑里居然还有以公司名字命名的根证书,于是顺手就把它停了。停了之后,访问网站也没什么变化,能访问的依然能访问,不能访问的(如在线视频网站、游戏网站等)依然不能访问。我还以为禁用根证书之后,能上班时间看优酷了。。。

所以就是想问问各位,根证书有没有监视员工访问了什么网址的功能?

5242 次点击
所在节点    SSL
47 条回复
SourceMan
2016-12-05 13:01:41 +08:00
解密你的 HTTPS 的访问
letitbesqzr
2016-12-05 13:03:44 +08:00
按理说 删除公司根证书 再访问 https 的网站就会提示错误了。。 给你装根证书就是为了替换你访问网站的证书 然后解密流量
shoaly
2016-12-05 13:05:04 +08:00
当你访问淘宝的时候, 输入 taobao.com 淘宝购买的 GlobalSign 证书 来确保你访问的 taobao.com 是真正的淘宝, 并且中间的购物信息不被监听
当公司有了根证书, 公司可以也给淘宝重新签发一个伪证书, 然后你跟淘宝之间的信息就被公司截获了
另外不论公司有没有跟证书, 他都能知道你访问了那些域名
letitbesqzr
2016-12-05 13:06:54 +08:00
要想上班时间看,试试 ss 之类的软件吧。当然 如果公司在你电脑上都装的有软件的话,那也没办法
tony1016
2016-12-05 13:07:16 +08:00
这和监视没有关系吧,只是可能你们公司有自己的网站部署了自己的证书系统而已吧。当然被自己公司钓鱼另当别论
tony1016
2016-12-05 13:08:42 +08:00
@shoaly 这不是瞎扯吗,你怎么把伪证书放到淘宝的服务器上啊??
haocity
2016-12-05 13:13:15 +08:00
@tony1016 可以在公司出口给劫持掉 替换证书 获取你的上网内容
choury
2016-12-05 13:15:33 +08:00
@tony1016 华为就是这么干的,内网访问所有 https 网站显示的证书都是华为自己签的
SourceMan
2016-12-05 13:15:35 +08:00
@tony1016 没考证之前,不要那么轻易否定别人。
laoyur
2016-12-05 13:16:31 +08:00
@tony1016 真要中间人你的话,当然可以做到,干吗要放到淘宝的服务器上?你在公司上网,数据不经过公司的路由器?
avrillavigne
2016-12-05 13:22:47 +08:00
贵司没有自签证书的网站吗?比如 outlook exchange owa 啥的。
Jasmine2016
2016-12-05 13:23:26 +08:00
@letitbesqzr 我刚才再次试了一下访问 https 的京东,显示的证书是 GlobalSign ,跟之前一样。没禁用公司根证书之前,也是走的 GlobalSign 证书。我一直用着 SS PAC 模式.
Jasmine2016
2016-12-05 13:25:35 +08:00
@shoaly 我又启用了公司的根证书,但是访问任何网站的时候都没有调用公司的证书。。。所以才感到奇怪,不知道他这个有何大用途,哈哈。
Jasmine2016
2016-12-05 13:26:58 +08:00
@avrillavigne 这个我不太清楚,不过公司的邮箱用的是 Exchange....这方面知识不够- -
venster
2016-12-05 13:27:19 +08:00
企业网络里发放自签名证书再正常不过了,总不能内建个小网站还要申请个公共签名的证书吧?还有内部的一些加密通讯什么的,建个证书服务器太方便了
Jasmine2016
2016-12-05 13:30:26 +08:00
@haocity
@choury
假如我访问京东,查看证书的时候显示的是 GlobalSign ,而不是公司的证书,是不是这就说明我没有被劫持(排除路由器劫持)?
Jasmine2016
2016-12-05 13:32:27 +08:00
@venster 谢谢。看来还是启用自建证书比较好对吧?
hst001
2016-12-05 13:35:52 +08:00
这个只是为了方面你们访问公司相关网站防止流量被外面的劫持,是种保护措施,说监听员工的洗洗睡吧, https 原理都没搞懂净瞎扯。
9hills
2016-12-05 13:37:19 +08:00
放自己的证书基本都是用于监听 HTTPS ,没有其他用处

@Jasmine2016 > 假如我访问京东,查看证书的时候显示的是 GlobalSign ,而不是公司的证书

点开证书链看 CA 就行了
Jasmine2016
2016-12-05 13:42:07 +08:00
@hst001
@9hills
统一感谢~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/325371

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX