Las computadoras corporativas tienen su propio certificado de corporación como CA confiable; ¿Debo considerar todo el tráfico comprometido?

33

Según mi conocimiento limitado de cómo funciona HTTPS / TLS, el usuario final (yo) inicia una conexión con un servidor remoto que firma cada uno de sus mensajes con una clave pública. Esta clave pública se puede verificar (mágicamente) al verificar el certificado, que está firmado por una CA que garantiza la integridad de ese certificado.

El resultado de esto es que si confío en una CA, esa CA puede firmar el certificado cualquiera y decir que es válida y que mi máquina estará bien con eso; si se agrega una CA deshonesta al registro de confianza de mi computadora, entonces cualquiera que sepa que la AC deshonesta podrá firmar su certificado y presentar, potencialmente, cualquier sitio web y realizar un ataque en el centro del ataque.

Mi corporación acaba de agregar su certificado propio como CA raíz a todas las computadoras en la red. Por lo tanto, ¿debería asumir que todo el tráfico que envío está comprometido?

    
pregunta Dan Pantry 01.12.2015 - 10:17
fuente

4 respuestas

63

Sí.

Sí. (Si considera que "los administradores de mi empresa pueden cambiar el tráfico de mi (s) HTTP (s)" se compromete.) Excepto algunos programas que fijan el uso de su certificado y fallan si se usa otro certificado.

Esa es prácticamente la idea de la inspección SSL: abra SSL / TLS, realice un análisis antivirus, cierre nuevamente SSL / TLS.

Y en lugar de ese "análisis antivirus", puede sustituir cualquier manipulación del tráfico que desee.

Pero, por otro lado, quienquiera que pueda instalar una CA raíz en su sistema ya tiene poder de superusuario. Así que hay un millón de formas en que pueden interferir / escuchar.

    
respondido por el StackzOfZtuff 01.12.2015 - 10:37
fuente
10

Técnicamente, sí. Sin embargo, aún puede verificar si sus conexiones están siendo comprometidas o no:

  1. Instale un navegador web que use sus propios paquetes de certificados (su empleador también puede prohibirlo).

  2. Conéctese a un sitio confiable usando una computadora confiable (por ejemplo, en casa) y anote la huella digital del certificado. Cuando se conecte a ese sitio en el trabajo, verifique la huella digital del certificado manualmente. Tendrá que repetir el control cada vez que se asegure cada página y anotar nuevas huellas digitales cada vez que el sitio actualice su certificado.

respondido por el Dmitry Grigoryev 01.12.2015 - 10:36
fuente
7
  • No es su computadora , es su computadora.

  • no es un compromiso para que ellos tomen el control.

Entonces, ¿qué debes hacer?

Si quieres, por ejemplo. envíe un correo electrónico a su médico acerca de su diagnóstico de cáncer sin alertar a su empleador, debe hacerlo desde su teléfono inteligente, utilizando la conexión de datos.

¡No uses computadoras de trabajo para uso personal, gente!

    
respondido por el Ben 02.12.2015 - 12:14
fuente
1

Esta no es realmente una respuesta independiente, sino algunos comentarios más sobre el descifrado TLS / SSL.

En primer lugar, es posible que su empresa no haya publicado un nuevo certificado de CA raíz para interceptar este tráfico. Pueden estar firmando software / plugins / etc. que quieren ejecutar como código de confianza. También pueden estar publicando un certificado interno para los sitios internos de HTTPS. Si bien este cambio les da la capacidad de realizar una intercepción de tráfico TLS / SSL por parte del hombre en el medio, es posible que no lo estén haciendo.

Se les puede exigir legalmente que le notifiquen si están registrando su tráfico HTTPS descifrado. Incluso si no están obligados a hacerlo, espero que un buen departamento de recursos humanos emita una notificación de que esto está ocurriendo.

Habiendo trabajado con este tipo de producto, muchas herramientas de descifrado TLS / SSL evitan intencionalmente descifrar flujos que puedan contener información confidencial (PII y PHI) porque la entidad que realiza el descifrado se hace responsable de proteger esos datos y, por lo tanto, cualquier responsabilidad potencial. por la pérdida de esos datos en caso de incumplimiento o incluso de fuga accidental, que es un riesgo que la mayoría de las empresas (o al menos su asesor legal) no aceptan. Por lo tanto, su conexión a bank.com o doctor.com puede permanecer confidencial, pero su conexión a onlinestorage.com o webmail.com podría no serlo.

Hay muchas razones legítimas para interceptar este tráfico (DLP, identificación de tráfico no autorizado, otro filtrado de contenido, control de calidad / resolución de problemas, optimización de la red, balanceo de carga, etc.) y la mayoría de las personas intentan hacerlo de manera responsable.

    
respondido por el cglidden 03.12.2015 - 21:39
fuente

Lea otras preguntas en las etiquetas