El emisor del certificado es una empresa de la red

Algunas compañías están muy preocupadas por la información que se filtra a los sitios de redes sociales. Debido a esto, pondrán en servidores proxy que inspeccionan el contenido de los datos enviados a las redes sociales. Cuando hacen esto, emiten su propio certificado, y se comporta de la manera que usted describe.

¿Es normal? No para el usuario promedio, pero cada vez más normal en entornos corporativos

¿Es engañoso? Más o menos, pero podría haber sido notificado de este tipo de cosas en una política corporativa

¿Es ilegal? Eso realmente depende de tu jurisdicción. Pero, como dije, es cada vez más común, y en muchas jurisdicciones es legal (con o sin notificación).

La otra pregunta que debe hacer es: "¿Cuál es mi riesgo?" Y aquí está: dado que están interesados en el contenido de lo que publicas, es probable que almacenen, inspeccionen y alerten sobre ese contenido. Eso significa que todo lo que publicas va a tu empresa. Toda la comunicación (a esos sitios) ya no es privada para usted y su audiencia, pero está expuesta a aquellos que están autorizados para ver dicha información en su empresa.

En los Estados Unidos, la práctica podría caer en violación de la ley nacional de privacidad. No puedo decir con certeza, sin embargo, creo que se debe dar un aviso claro a todos los usuarios de una red en la que el beneficio de la privacidad que normalmente ofrece la conexión segura no está intacto.

Además, existe un riesgo de seguridad a la mano: debido al hecho de que tuvo que preguntar sobre esto aquí (no se confió en el emisor del certificado), es probable que otros empleados, especialmente aquellos que no son tan escépticos a medida que usted, con el tiempo se desensibilizaría a esas advertencias, finalmente daría por sentado la validez de cualquier certificado no confiable emitido bajo ese nombre . Existe la posibilidad de que otra máquina en la red intercepte el tráfico con certificados que no sean de confianza con el mismo nombre, y posiblemente cause más daños que las infracciones cotidianas ocasionales en la privacidad de los empleados.

Si no es ilegal, ciertamente es al menos una práctica poco ética y potencialmente dañina en el caso de que la divulgación de la ley no se dé a los usuarios de la red, y especialmente cuando los usuarios de la red ni siquiera están informados sobre cómo agregar la CA como un emisor de confianza.

En general, no quieren animar a las personas a acceder a sitios externos con la forma de estandarización adecuada, ya que existe la posibilidad de que surjan muchos problemas, como la violación de políticas, los ataques maliciosos y la fuga de datos. Para proteger todo esto del mundo externo, pueden tener servidores de terceros, puede ser proxy o lo que sea (la empresa comprada) verificará el análisis completo de paquetes y cifrará los contenidos en su propia configuración de CA configurada en el servidor de terceros. Servidores como Blue coat, FireEye, Websense, etc.