¿Por qué el certificado de emisor es diferente en mi lugar de trabajo y en mi hogar?

Navega tus respuestas
40

He visto la cadena de certificados de Gmail en mi lugar de trabajo y me di cuenta de que es diferente. Se parece a esto: 

Root CA
   Operative CA1
      ___________.net
         mail.google.com

Cuando recibo la cadena de certificados en casa, se ve así: 

GeoTrust Global CA
   Google Internet Authority G2
      *.google.com

Obviamente estos certificados son emitidos por mi empresa. Hace poco leí otro hilo en security.stackexchange, y dijeron que la compañía está escuchando (usando un proxy MITM) las comunicaciones HTTPS para proteger la red interna y la máquina cliente contra virus. Eso significa que pueden leer todo el paquete cifrado que se ha enviado a través de HTTPS, incluido este mensaje también.

Si esto es cierto, ¿puedo solucionar esto? O por favor corrígeme si me equivoco.

    
pregunta ampika 21.02.2017 - 10:01
fuente

3 respuestas

50

Sí, una empresa que realiza una intercepción SSL podría, en teoría, leer todo su tráfico si utiliza la red de la empresa. Dependiendo de dónde viva y del tipo de contrato que tenga la capacidad de la empresa para hacer esto, también podría ser parte del contrato o de las reglas de trabajo que también podrían incluir que solo se le permita usar la red de la empresa para asuntos relacionados con el trabajo.

  

¿Puedo solucionar esto?

Sí, puede usar una máquina y una red diferentes, como su teléfono móvil, para su tráfico privado, no relacionado con el trabajo. Dependiendo de la configuración del firewall, también podría ser posible usar algún túnel VPN a través del firewall. Pero generalmente está explícitamente prohibido hacer esto, por lo que corre el riesgo de ser despedido por esto.

    
respondido por el Steffen Ullrich 21.02.2017 - 10:14
fuente
9

Además de buscar malware, la TI corporativa también utiliza la intercepción TLS para la prevención de pérdida de datos (DLP), por ejemplo. asegurándose de que no está enviando documentos de propiedad a través de su correo electrónico personal.

En la mayoría de las empresas medianas a grandes, debe firmar una "Política de uso aceptable" como condición de empleo, y esa política indicará explícitamente que están autorizados a monitorear todo lo que hace en una empresa - Ordenador emitido y / o red de la empresa. También puede incluir restricciones sobre qué tipo de actividades personales puede realizar en la computadora / red de la empresa. Y si lo hace, entonces la política probablemente te prohíba realizar soluciones como una VPN.

Suponiendo que trabaja para una gran empresa que tiene este tipo de política y también la tecnología para monitorear y hacer cumplir el cumplimiento, mi recomendación es usar su propio dispositivo personal para asuntos personales (es decir, un teléfono inteligente) y no conectarlo. A la red de la empresa. (Algunas compañías tienen una red "abierta" separada para dispositivos propiedad de los empleados).

    
respondido por el Mark E. Haase 21.02.2017 - 18:02
fuente
7

Ser capaz de "leer" toda su comunicación cifrada no significa necesariamente que alguien esté literalmente sentado frente a una computadora y mirando sus datos. El "hombre en el medio" es generalmente un firewall o dispositivo proxy, donde los administradores de TI / Seguridad crean reglas para bloquear o marcar ciertos tipos de contenido. El dispositivo inspecciona los paquetes en texto sin formato, pero generalmente no está expuesto a un humano vivo.

Dicho esto, la regla general se aplica a que solo debes hacer cosas relacionadas con el trabajo en tus dispositivos de trabajo. Incluso si su tráfico no se está descifrando, el nombre del sitio que está visitando, aunque no es el URI exacto, sigue siendo visible (a través de SNI ). En otras palabras, incluso a través de HTTPS, ya sea que esté visitando demasiado de Facebook o que esté navegando por Pr0n, la lista de sitios que está visitando es visible para los ojos corporativos, con o sin algo que intercepte el certificado. Sea inteligente y mantenga cosas personales en dispositivos personales.

    
respondido por el Chris Pratt 21.02.2017 - 18:33
fuente

Lea otras preguntas en las etiquetas

¿Sigue siendo válida la recomendación de OWASP con respecto al almacenamiento local? Pasar las claves secretas de forma segura a los contenedores de la ventana acoplable