公司只要求连入网络安装根证书,会被监控 https 吗

2017-12-27 09:59:18 +08:00
 copriwolf

问题

公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定,mac 绑定 ip 地址。 证书现在只信任 EAP 协议以及 X.509 基本策略。 这种情况下,HTTPS 会被审计吗?网管可以通过这 2 个协议进行中间人攻击来监听信息吗?

8451 次点击
所在节点    问与答
49 条回复
copriwolf
2017-12-28 09:37:05 +08:00
@yingfengi 噢我以为审计是类似中间人,直接出口代替本机去与远程服务器交互 https,然后因为信任了自签发的证书,所以出口与本机也是 https,实现了信息拦截。
copriwolf
2017-12-28 09:37:50 +08:00
@lshero 嗯,可是有时候有些软件级的就不知道有没有被拦截,比如微信、qq 这种走 ssl 的,就看不到证书了。
copriwolf
2017-12-28 09:38:09 +08:00
@zscself 嗯嗯
yingfengi
2017-12-28 12:11:51 +08:00
@copriwolf 是中间人,但是给你的页面是设备签发的证书,不是原来的证书。
copriwolf
2017-12-28 14:24:53 +08:00
@yingfengi 嗯,目前看来,这个证书仅仅只是鉴权,还没有一个审计 SSL 的功能,应该只是审计 http 吧
yingfengi
2017-12-28 18:24:40 +08:00
@copriwolf http 审计不需要搞证书,另外有没有审计看你公司,我上设备配过做准入策略审计 QQ 聊天记录的。。。
copriwolf
2017-12-28 18:47:36 +08:00
@yingfengi qq 聊天记录也是走 tls 或者 ssl 的吧,还能审计的到?
zsj950618
2017-12-28 22:14:37 +08:00
根证书也是分用途的。。。

> 公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定

802.1x 认证用的根证书,如果在系统把这个证书的用途限制在了只能进行设备认证,就不会影响到你 HTTPS 访问。


最简单就是你 HTTPS 访问网页的时候,在浏览器里看下所用的证书是谁签发的,和你公司的根证书对比下就好了。
yingfengi
2017-12-31 19:37:43 +08:00
才看到说 QQ 审计的问题,QQ 升级靠客户端,简单的来说就是你要用我的网络就必须在电脑装一个插件,不然不给用。
有点公司就是这么恶心,必须做这个。就遇到过一次,做期货的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/417909

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX