En general, esto es posible porque la empresa controla los dispositivos sujetos a monitoreo, por lo tanto, pueden indicar a los dispositivos que confíen en su propio certificado de CA.
Para que la PC confíe en el certificado de CA de la pasarela:
- Exporte el certificado de CA desde SmartDashboard (en el HTTPS
Ventana de inspección de la puerta de enlace de seguridad, o en la Inspección de HTTPS > Panel de puertas de enlace).
2. Instale el certificado en la PC del usuario:
Ponga manualmente el archivo de certificado en la PC del usuario. Haga clic en el archivo y
siga las instrucciones del asistente para agregar el certificado al confiable
Repositorio de certificados raíz en las máquinas cliente.
Use la directiva de grupo o GPO para distribuir el certificado a un grupo grande
de los usuarios. Consulte la documentación para más detalles.
link
Luego pueden interceptar el protocolo de enlace TLS y sustituir el certificado por uno que ellos mismos hayan generado y firmado, y en el que su dispositivo confiará. Luego, pueden actuar como un intermediario, descifrando su tráfico antes de enviarlo al destino legítimo.
¿Es probable que mi ISP también haga esto?
No, su ISP no está en una posición en la que tenga acceso a sus dispositivos, por lo tanto, no pueden instalar su propio certificado de CA de confianza.
Además, algunos clientes (por ejemplo, algunas aplicaciones móviles y algunos navegadores en algunas circunstancias) "fijarán" los certificados, lo que significa que solo aceptarán un certificado firmado por una CA en particular. En ese escenario, no aceptarán los certificados generados por su empresa.