公司要求安装 CA 证书才能连接 wifi,怎么判断是否会监控浏览内容

2020-07-01 11:35:10 +08:00
 tyhunter
目前来看 chrome 小绿锁的证书来源还是网站颁发的
7034 次点击
所在节点    问与答
34 条回复
mnssbe
2020-07-01 11:39:46 +08:00
让你装证书就是要解密你的 https
594duck
2020-07-01 11:40:08 +08:00
CA 证书连接 WIFI 是最安全的操作,另外,公司部署深信服这类东西你也无从感知。所以最简单的事情就是公司是公司自己是自己。不要贪小便宜去蹭公司的网。

另外,微信这垃圾东西加密等于没有,QQ 安全,深信服之类的设备哪怕要监控 QQ 也要安装 Agent 。所以多用 QQ,不要贪小,公司和个人分分开。
594duck
2020-07-01 11:43:54 +08:00
@mnssbe 你这瞎说了,WIFI 用 CA 证书是正常操作。
bkmi
2020-07-01 11:45:10 +08:00
@594duck QQ 比微信安全? 你怕是在说反话吧。
微信的安全级别不知道比 QQ 高到哪去了。
tyhunter
2020-07-01 11:46:33 +08:00
@mnssbe 可是小绿锁里面的证书颁发机构还是网站本身
@594duck 没装 local agent,微信这些走私有协议的客户端还是放心的,害, 就是对于浏览器网站这块比较好奇。当然公司可以一直可以看到我日常浏览哪些网站(域名),但就是不太想被看到内容
Counter
2020-07-01 11:46:43 +08:00
@bkmi 愿闻其详
tomczhen
2020-07-01 11:51:59 +08:00
装 CA 不一定是为了监控,可能是因为 HTTPS 想做 Web 认证跳转,不过装了之后确实是可以做监控,只看有没有部署设备。
ruixue
2020-07-01 11:57:15 +08:00
可以试试 Firefox 。Firefox 有自己的 CA Certificates 列表,默认不使用系统的根证书设置,如果打开 https 网站报证书错误就说明 https 遭遇中间人了
bkmi
2020-07-01 11:57:37 +08:00
@594duck @Counter QQ Android 客户端,就现在还有一部分 HTTP 的请求,URL 上有你双方的 QQ 号,图片可以直接访问。

再看微信,全 https 就不说了,就算你用自签证书抓到了图片地址,还需要客户端解密才能查看。

高下立判。
ouqihang
2020-07-01 12:09:46 +08:00
记得安装的时候可以选,如果这个证书只用来验证,不用来解密内容,只选一个,另一个不选,也可以正常用。连接指南里应该会写。
594duck
2020-07-01 12:11:55 +08:00
@bkmi 请看一下这个图文并貌的深信服内部社区怎么做的 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=79055

QQ 桌面端是自有协议,深信服要监控必须安装一个 Agent,普通 手段还不行。我 18 年的时候还知道深信服是直接可以看微信的,除非 这二年他又高级升级了。

至于 android,你一定要用 android 我们也没办法。IPHONE 又稳定又安全,不需要折腾,是我们老年人最爱用的东西了。

这里有个历史 故事可能你不知道,在 IPHONE7 之前,我身边的朋友买 Android 的工作效率都不高因为他们都在研究如何刷机。日日刷,夜夜刷,天天刷。我也搞不懂这经历这么折腾一部电话干吗,电话不就是接打,发消息,打游戏,做做 GTD 的工具么。
594duck
2020-07-01 12:15:10 +08:00
@bkmi 微信客户端在某次更新后,也需要安装准入了。人家工程师的回复里说的蛮清楚了

1 、QQ ( windows )、TIM 需要安装准入

2 、微信网页版、新浪微博( iphone 、android 、网页版)需要开启 SSL 内容审计

3 、腾讯微博(网页版)

4 、12.0.5 版本支持审计 PC 微信客户端聊天内容,需要安装准入

5 、skype ( windows 版本 8.0 之前的版本是可以支持的,skype 8.0 后面的版本不支持) 需要安装准入

6 、其余 IM 默认不支持
bkmi
2020-07-01 12:43:35 +08:00
@594duck 我举例 Android 是因为我刚刚用 Android 抓包测试确认,PC 端当然也有,参考爱快的 IM 记录,而且不用安装任何准入终端。

除了网页版,哪家用的不是自有协议?

装了准入终端,靠 Hook+截屏+OCR,什么软件不能监控?

另外用 iPhone 用出优越感了?
shmilypeter
2020-07-01 12:53:37 +08:00
完了,装证书肯定是被中间人了,你什么流量都能看到。
Jirajine
2020-07-01 12:56:53 +08:00
系统装了没关系,Firefox 里没装就没问题。
youthfire
2020-07-01 12:59:16 +08:00
公司路由器还有不监控访问记录的?几乎没有
0gys
2020-07-01 13:02:36 +08:00
qq 微信要安装准入才能监控。钉钉不支持。安装证书就是解密 https 的,还有就是为安全着想,避免被人蹭网。深信服我用过。界面功能垃圾的要死。也就是能用,但绝对不是好用。
tankren
2020-07-01 13:06:36 +08:00
公司网络不要做违法或者不合规的事情就好了 当然还要看领导变不变态 政策是不是很严
uTOmOuk3L6sb4MSI
2020-07-01 13:09:04 +08:00
@ruixue #8
用黑 /白名单的话,你怎么知道是哪些网站
gamexg
2020-07-01 13:10:44 +08:00
@tyhunter #5 检查下 https 根证书是否是正确的。
原来做过,自签根证书,然后拦截 https 请求,自动根据网站证书生成一致的证书后使用自签根认证。
只看网站证书,除了指纹看不出明显的问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/686186

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX