V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Jasmine2016
V2EX  ›  SSL

公司电脑内置以公司名字命名的根证书

  •  
  •   Jasmine2016 · 2016-12-05 12:57:38 +08:00 · 5271 次点击
    这是一个创建于 2940 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天在删沃通根证书的时候,偶然发现电脑里居然还有以公司名字命名的根证书,于是顺手就把它停了。停了之后,访问网站也没什么变化,能访问的依然能访问,不能访问的(如在线视频网站、游戏网站等)依然不能访问。我还以为禁用根证书之后,能上班时间看优酷了。。。

    所以就是想问问各位,根证书有没有监视员工访问了什么网址的功能?

    第 1 条附言  ·  2016-12-06 09:09:41 +08:00
    统一回复:看来真的是我太敏感了,这个东西本身是保护员工网络环境的,虽然像回复里说的那样「可以用来监视」,但大多数企业一般不会这么做(没有哪个网管那么闲吧)。如果各位觉得还是不放心,可以加个 SS 混淆一下。。。
    47 条回复    2016-12-08 10:26:48 +08:00
    SourceMan
        1
    SourceMan  
       2016-12-05 13:01:41 +08:00 via iPhone
    解密你的 HTTPS 的访问
    letitbesqzr
        2
    letitbesqzr  
       2016-12-05 13:03:44 +08:00
    按理说 删除公司根证书 再访问 https 的网站就会提示错误了。。 给你装根证书就是为了替换你访问网站的证书 然后解密流量
    shoaly
        3
    shoaly  
       2016-12-05 13:05:04 +08:00
    当你访问淘宝的时候, 输入 taobao.com 淘宝购买的 GlobalSign 证书 来确保你访问的 taobao.com 是真正的淘宝, 并且中间的购物信息不被监听
    当公司有了根证书, 公司可以也给淘宝重新签发一个伪证书, 然后你跟淘宝之间的信息就被公司截获了
    另外不论公司有没有跟证书, 他都能知道你访问了那些域名
    letitbesqzr
        4
    letitbesqzr  
       2016-12-05 13:06:54 +08:00
    要想上班时间看,试试 ss 之类的软件吧。当然 如果公司在你电脑上都装的有软件的话,那也没办法
    tony1016
        5
    tony1016  
       2016-12-05 13:07:16 +08:00   ❤️ 1
    这和监视没有关系吧,只是可能你们公司有自己的网站部署了自己的证书系统而已吧。当然被自己公司钓鱼另当别论
    tony1016
        6
    tony1016  
       2016-12-05 13:08:42 +08:00
    @shoaly 这不是瞎扯吗,你怎么把伪证书放到淘宝的服务器上啊??
    haocity
        7
    haocity  
       2016-12-05 13:13:15 +08:00
    @tony1016 可以在公司出口给劫持掉 替换证书 获取你的上网内容
    choury
        8
    choury  
       2016-12-05 13:15:33 +08:00
    @tony1016 华为就是这么干的,内网访问所有 https 网站显示的证书都是华为自己签的
    SourceMan
        9
    SourceMan  
       2016-12-05 13:15:35 +08:00
    @tony1016 没考证之前,不要那么轻易否定别人。
    laoyur
        10
    laoyur  
       2016-12-05 13:16:31 +08:00
    @tony1016 真要中间人你的话,当然可以做到,干吗要放到淘宝的服务器上?你在公司上网,数据不经过公司的路由器?
    avrillavigne
        11
    avrillavigne  
       2016-12-05 13:22:47 +08:00
    贵司没有自签证书的网站吗?比如 outlook exchange owa 啥的。
    Jasmine2016
        12
    Jasmine2016  
    OP
       2016-12-05 13:23:26 +08:00
    @letitbesqzr 我刚才再次试了一下访问 https 的京东,显示的证书是 GlobalSign ,跟之前一样。没禁用公司根证书之前,也是走的 GlobalSign 证书。我一直用着 SS PAC 模式.
    Jasmine2016
        13
    Jasmine2016  
    OP
       2016-12-05 13:25:35 +08:00
    @shoaly 我又启用了公司的根证书,但是访问任何网站的时候都没有调用公司的证书。。。所以才感到奇怪,不知道他这个有何大用途,哈哈。
    Jasmine2016
        14
    Jasmine2016  
    OP
       2016-12-05 13:26:58 +08:00
    @avrillavigne 这个我不太清楚,不过公司的邮箱用的是 Exchange....这方面知识不够- -
    venster
        15
    venster  
       2016-12-05 13:27:19 +08:00 via iPhone   ❤️ 1
    企业网络里发放自签名证书再正常不过了,总不能内建个小网站还要申请个公共签名的证书吧?还有内部的一些加密通讯什么的,建个证书服务器太方便了
    Jasmine2016
        16
    Jasmine2016  
    OP
       2016-12-05 13:30:26 +08:00
    @haocity
    @choury
    假如我访问京东,查看证书的时候显示的是 GlobalSign ,而不是公司的证书,是不是这就说明我没有被劫持(排除路由器劫持)?
    Jasmine2016
        17
    Jasmine2016  
    OP
       2016-12-05 13:32:27 +08:00
    @venster 谢谢。看来还是启用自建证书比较好对吧?
    hst001
        18
    hst001  
       2016-12-05 13:35:52 +08:00 via Android   ❤️ 1
    这个只是为了方面你们访问公司相关网站防止流量被外面的劫持,是种保护措施,说监听员工的洗洗睡吧, https 原理都没搞懂净瞎扯。
    9hills
        19
    9hills  
       2016-12-05 13:37:19 +08:00   ❤️ 1
    放自己的证书基本都是用于监听 HTTPS ,没有其他用处

    @Jasmine2016 > 假如我访问京东,查看证书的时候显示的是 GlobalSign ,而不是公司的证书

    点开证书链看 CA 就行了
    Jasmine2016
        20
    Jasmine2016  
    OP
       2016-12-05 13:42:07 +08:00
    @hst001
    @9hills
    统一感谢~
    RqPS6rhmP3Nyn3Tm
        21
    RqPS6rhmP3Nyn3Tm  
       2016-12-05 13:56:02 +08:00 via iPad
    有些公司会用自签名的邮件系统和 VPN ……
    crab
        22
    crab  
       2016-12-05 14:01:05 +08:00
    @tony1016 拿 Fiddler 安装它的根证书就明白了。
    hqfzone
        23
    hqfzone  
       2016-12-05 15:07:21 +08:00
    真逗,还有拿 https 原理说不能劫持的……
    SharkIng
        24
    SharkIng  
       2016-12-05 15:32:26 +08:00
    我们公司 VPN 和一些内部网站全部都是自签证书,不过公司不管安装根证书,自己需要自己弄的感觉。
    反正公司电脑,无所谓了,也没有自己的东西。
    lslqtz
        25
    lslqtz  
       2016-12-05 15:39:13 +08:00
    @hst001 使用外面签发的证书也不会被劫持, http 也不会被外面劫持(内网有可能)
    有这可能性还不如直接拿下 web 服务器,也不用什么证书了改 PHP 就好了。
    shoaly
        26
    shoaly  
       2016-12-05 16:21:16 +08:00
    @Jasmine2016 放了 CA 只是说拥有了公司"操你"的能力, 并不代表他就"操了"你啊
    shoaly
        27
    shoaly  
       2016-12-05 16:21:39 +08:00
    @tony1016 读一下 https 原理 你会懂
    hack
        28
    hack  
       2016-12-05 16:52:18 +08:00
    @letitbesqzr 一些公司不一定有内容监控需求,反过来,装证书可能只是为了监控个别站点,比如人事招聘类
    tony1016
        29
    tony1016  
       2016-12-05 17:01:28 +08:00
    @haocity
    @choury
    @SourceMan
    @laoyur
    @shoaly 照这么说, ZF 拥有 WoSign 的证书,那你访问 Gmail (如果可以),能容都可以被窃听??这不搞笑吗?
    SourceMan
        30
    SourceMan  
       2016-12-05 17:08:12 +08:00
    @tony1016 你这个认知还自以为正确的态度,也没啥需要聊下去了。。反正知识是你,对不对跟我关系也不大。
    laoyur
        31
    laoyur  
       2016-12-05 17:10:15 +08:00
    @tony1016 😅 ,到底谁在搞笑……如果你信任 WoSign 的证书,且 ZF 想这么做,那就可以看到你的 Gmail 内容
    defclass
        32
    defclass  
       2016-12-05 17:23:21 +08:00
    中间人, 完全是可以的阿.
    tony1016
        33
    tony1016  
       2016-12-05 17:24:08 +08:00 via Android
    @SourceMan
    @laoyur
    好吧,我确实错误了,确实可以配合 Dns 污染做到
    Citrus
        34
    Citrus  
       2016-12-05 17:46:27 +08:00
    这么多被害妄想。。。这玩意最大的作用是 Windows 的 域 。。。。。。。。。
    很多公司的域相关服务都是用自签 CA 签的,禁用之后很多 AD 相关如邮件之类的都会出问题的。
    paw
        35
    paw  
       2016-12-05 19:04:16 +08:00
    @tony1016 T 总你吓着我了,一度怀疑前面的发帖不是你本人....
    doubleflower
        36
    doubleflower  
       2016-12-05 19:11:07 +08:00 via Android   ❤️ 1
    @hqfzone 同学你知不知道安卓上有免费的网络调试器 app 叫 packet capture ,安装了这个 app 提供的根证书后,所有 app 的 https 请求都能看到明文了,爬虫爱好者的利器
    doubleflower
        37
    doubleflower  
       2016-12-05 19:15:26 +08:00
    @hqfzone 不好意思 @错人了
    9hills
        38
    9hills  
       2016-12-05 19:23:33 +08:00 via iPhone
    @tony1016 不用配合 DNS 污染,直接在路由上下手就行
    techyan
        39
    techyan  
       2016-12-05 21:54:09 +08:00
    @tony1016
    http://www.williamlong.info/archives/4183.html
    中国 ZF 的确使用过 CNNIC 的证书来中间人攻击 Gmail 。 Wosign 和 CNNIC 只有一步之遥。
    GordianZ
        40
    GordianZ  
    MOD
       2016-12-05 23:21:13 +08:00   ❤️ 2
    T: 照这么说, ZF 拥有 WoSign 的证书,那你访问 Gmail (如果可以),内容都可以被窃听??这不搞笑吗?
    ZF: 刚才你问我啊,我可以回答你一句“无可奉告”,那你们又不高兴,那怎么办?
    nevin47
        41
    nevin47  
       2016-12-05 23:46:34 +08:00
    @Citrus 还真不是被迫害, V 站、 baidu 、 google 、 github 的根证书都被替换成了公司的
    lslqtz
        42
    lslqtz  
       2016-12-06 07:04:58 +08:00
    @GordianZ 理论上是可以的,但这种事。。
    mrhuiyu
        43
    mrhuiyu  
       2016-12-06 08:40:52 +08:00   ❤️ 1
    网管现身说法。
    给你们放证书首先,就特么是邮箱啦。
    其次,就是监视你们了。
    最后也是我接下来这一阵子要做的是,防污染,
    mrhuiyu
        44
    mrhuiyu  
       2016-12-06 08:41:32 +08:00
    当然,有些公司是就很单纯的有邮箱,
    sgissb1
        45
    sgissb1  
       2016-12-06 11:33:07 +08:00
    @choury 我记得 HW 是要走他们的反向代理服务器的,所以你的电脑不需要装证书的样子,反向代理这一端就可以做流量拷贝了。。。。
    choury
        46
    choury  
       2016-12-06 12:03:05 +08:00 via Android
    @sgissb1 没有证书,代理也没办法解析 https 流量,最多就是感知域名
    Hardrain
        47
    Hardrain  
       2016-12-08 10:26:48 +08:00 via Android
    如果有罪推论,可以认为是公司为审计系统通过中间人攻击解密你的 SSL 通信提供方便.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5920 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 06:14 · PVG 14:14 · LAX 22:14 · JFK 01:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.