公司只要求连入网络安装根证书,会被监控 https 吗

2017-12-27 09:59:18 +08:00
 copriwolf

问题

公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定,mac 绑定 ip 地址。 证书现在只信任 EAP 协议以及 X.509 基本策略。 这种情况下,HTTPS 会被审计吗?网管可以通过这 2 个协议进行中间人攻击来监听信息吗?

8451 次点击
所在节点    问与答
49 条回复
avrillavigne
2017-12-27 13:44:45 +08:00
公司有 root ca 不说话
copriwolf
2017-12-27 13:48:47 +08:00
@avrillavigne 因为要验证上网啊,只是考虑附带的风险
copriwolf
2017-12-27 13:55:45 +08:00
@dndx 明白,感谢了。还有一个问题是,如果走 shadowsock,有可能会被嗅探到吗? shadowsock 使用 aes256 来加密的
julyclyde
2017-12-27 16:45:41 +08:00
你这个只能叫自签名证书
不能叫根证书
虽然安装以后是装在根证书区里的
TigerK
2017-12-27 20:07:31 +08:00
你可以只给一个浏览器安装证书啊,比如说 Firefox,可以创建好几个用户配置呢
yingfengi
2017-12-27 20:14:09 +08:00
明显是做 https 审计了
这种策略我上过,某公司弄了。
设备签发一个证书的,你信任了设备的根证书。
ouqihang
2017-12-27 20:52:33 +08:00
要看公司是怎么规定的,有些证书真的只是鉴权用。
azh7138m
2017-12-27 20:56:51 +08:00
黄龙国际?怕不是同事。。。
terence4444
2017-12-27 20:59:04 +08:00
Firefox 证书独立于操作系统
leots
2017-12-27 21:03:28 +08:00
我们学校也是通过这种方式认证上网的...
后来发现其实只是用来认证上网......
copriwolf
2017-12-27 21:48:46 +08:00
@TigerK 不行的,mac 上面是要系统级信任证书才能进行 802.1x 认证登陆
copriwolf
2017-12-27 21:49:26 +08:00
@yingfengi 是的,但是这个证书我不信任 SSL,有没可能被审查?
copriwolf
2017-12-27 21:50:07 +08:00
@azh7138m 然而并不是哈
copriwolf
2017-12-27 21:50:24 +08:00
@terence4444 mac 上面是要系统级信任证书才能进行 802.1x 认证登陆。主要是要认证了才能上网。
copriwolf
2017-12-27 21:50:36 +08:00
@leots 你是怎么论证的呢?
copriwolf
2017-12-27 21:51:12 +08:00
@julyclyde 是的,表述有误,感谢指正
copriwolf
2017-12-27 21:51:37 +08:00
@ouqihang 问题就是,无法论证到到底是审计还是单纯鉴权。
lshero
2017-12-27 22:27:25 +08:00
打开浏览器看看当前站点用的证书不就搞定了嘛
zscself
2017-12-27 23:34:47 +08:00
就是公司图省钱不愿意买证书,自己整了个根证书呗~
我认为哈,既然勾选了“ SSL 不信任”,是不是就意味着在 SSL 握手过程中,系统会把这个根证书标记为不信任,所以应该是无法进行审计的。
yingfengi
2017-12-28 08:27:13 +08:00
@copriwolf ssl 审计是这样子的
当你访问某个 https 的站点的时候,设备先进行 ssl 卸载,然后针对该域名签发一个证书,然后 https 的方式把网页发给你。
这样子的话,你不信任设备的根证书,https 压根没法访问。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/417909

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX