El empleador quiere que instale el certificado raíz para que trabaje de forma remota: ¿problemas de privacidad?

Question

El empleador quiere que instale el certificado raíz para que trabaje de forma remota: ¿problemas de privacidad?

#1 de JimmyJames (2 votos)
#2 de ISMSDEV (0 votos)
#3 de bbaassssiiee (0 votos)

4

Mi nuevo empleador quiere que instale un certificado raíz en mi computadora como de confianza para poder trabajar de forma remota. Creo que es utilizar Cisco AnyConnect vpn. Realmente no entiendo bien cómo funcionan, así que quería venir aquí para obtener algunos consejos. Parece que podrían controlar mi tráfico web si me instalan este certificado raíz ¿es correcto? Si pudieran recopilar información sobre mis hábitos de navegación o sobre lo que estoy haciendo en mi tiempo libre, preferiría tener una computadora nueva dedicada exclusivamente al trabajo.

Simplemente no estoy seguro de si se puede abusar de un certificado raíz de confianza de esta manera.

Editar: Esto es en mi propia computadora personal, no en una computadora de trabajo. Quiero asegurarme de que mi empleador no pueda ver mis archivos personales ni mis hábitos de navegación en Internet.

De acuerdo con las instrucciones, quieren que les instale un certificado raíz de confianza (el empleador). Dicen que es posible que tenga advertencias cuando lo instale, pero simplemente lo ignoro.

Por lo que deduzco, parece que el certificado raíz es para acceder a la VPN. Mis disculpas si esto no tiene sentido, no sé mucho al respecto y fue muy difícil encontrar información en Google para determinar si los certificados raíz confiables pueden ser explotados o si está bien instalarlos en su computadora personal.

La información del certificado raíz parece estar asociada con la información vpn en el manual, por lo que asumí que era necesario para autorizarle a acceder al sitio web / servidores de la empresa a través de AnyConnect.

Mi objetivo es que cuando estoy no conectado a AnyConnect, mi empleador no puede ver qué sitios web visito. Tampoco quiero que vean qué archivos tengo en mi PC en cualquier momento (ya sea que esté conectado a AnyConnect o no). Básicamente, no tengo un problema con el control de mi empleador a los sitios web a los que voy cuando utilizo ninguna conexión, pero en mi tiempo privado no quiero que tengan acceso a eso porque es privado.

Gracias por los consejos sobre cómo obtener una nueva máquina. Es de esperar que su monitoreo solo se extienda a la PC con el certificado de confianza y no a la red inalámbrica en la que se encuentra.

Edición 2: Gracias por las respuestas a todos. De lo que deduzco de todas las respuestas combinadas es que cuando estoy conectado a la VPN, la compañía puede ver mi tráfico de Internet. Cuando no estoy conectado al vpn, generalmente no lo hacen, a menos que quieran ser furtivos (poco probable, pero no obstante, una posibilidad). Creo que en este caso, la opción más segura sería comprar una PC de trabajo separada. ¡Gracias por toda su ayuda!

certificates certificate-authority

pregunta restoraider 18.10.2017 - 16:06

fuente

3 respuestas

Lea otras preguntas en las etiquetas certificates certificate-authority

¿Es este el flujo correcto del ataque KRACK? ¿Dónde colocaría un rastreador para capturar datos en una red doméstica con la siguiente topología?

score 2 · Answer 1

La instalación de un certificado raíz en su máquina hará que su máquina confíe implícitamente en certificados firmados por esa CA raíz. Si no entiende lo que eso significa, debería leer los conceptos básicos de certificados y TLS.

Parece que podrían controlar mi tráfico web si me instalan este certificado raíz ¿es correcto?

Cuando se comunique con su VPN, podrán descifrar ese tráfico. Eso es todo el punto. De lo contrario no podrás comunicarte con ellos. Si está pasando a través de su VPN a Internet, es probable que su tráfico esté pasando por un proxy. Debido a que confía en su certificado raíz, los está tratando como una autoridad de certificación (CA), ese proxy puede emitir certificados para cualquier dominio con el que se está conectando. Entonces verá un candado verde o lo que sea en su navegador, pero si tuviera que mirar la cadena de certificados, mostraría a la compañía como la autoridad. Por ejemplo, cuando estoy en el trabajo, cuando miro la cadena de certificados para este sitio, ha sido emitido por el CA de mi empresa. Esto es realmente algo legítimo para la empresa. Estás en su red y tienen todas las razones para necesitar ver lo que estás haciendo en ella.

Cuando no esté en la VPN, seguirá confiando en su CA, pero no será forzado a través de su proxy a Internet. Entonces, cuando vaya a Google, verá que su certificado es emitido por alguna otra CA en la que confía y no por la CA de la compañía. La empresa no puede descifrar este tráfico. Sin embargo, si realmente lo quisieran, es posible configurar un sitio falso utilizando sus certificados y, por diversos medios, hacerle creer que era realmente Google (por ejemplo) y ver lo que está buscando. A menos que esta sea una empresa turbia, creo que tal escenario sería poco probable.

Si le piden que instale un software especial en esta máquina, sin embargo, podrían monitorear todas sus actividades y / o controlar su computadora de forma remota.

score 0 · Answer 2

Sí, podrían "ver" su tráfico cifrado mediante el uso de certificados creados por su certificado raíz. También podrían filtrar o manipular cualquier tráfico. Es probable que quieran que esto se instale para que su firewall / AV pueda inspeccionar el tráfico para asegurarse de que esté seguro y dentro de la política.

Una vez conectados a su red, podrían hacer varias cosas a su máquina. También se arriesga a romper cualquier política corporativa al hacer cosas en su computadora portátil que tal vez no aprueben. Usted es sabio mirar utilizando una máquina diferente.

score 0 · Answer 3

Su empleador le solicitó que instale un certificado raíz para conectarse a la empresa, y es probable que su tráfico de Internet se enrute a través de su proxy siempre que la vpn esté conectada. Los proxies creados por Bluecoat y Ironport son capaces de inspeccionar el tráfico (para malware, etc.) Puede inspeccionar el certificado raíz y verificar el "emisor", esto podría mostrar la marca de dicho proxy. El administrador del sistema de su empleador puede firmar certificados de cualquier sitio web o servidor de correo, y rastrear su tráfico mientras usa el vpn. Cifre su correo electrónico con pgp para evitar espiar.

Fuera de vpn, la firma podría atraerlo a sitios falsos. Para evitar este riesgo, puede utilizar Firefox sin su certificado raíz. Firefox gestiona certificados raíz independientes del sistema operativo. El riesgo de que su empleador firme los certificados de otros sitios web toca el lado político del cifrado, su sistema legal y los objetivos / propósitos de su empleador.