¿Por qué los certificados de sitios web (como gmail.com) son emitidos por mi compañía? [duplicar]

Navega tus respuestas
1

En mi empresa, recibo una marca de advertencia de que el tráfico al sitio web puede no ser seguro (suficiente). Por ejemplo: outlook.com y gmail.com. Cuando abro el certificado, veo "emitido para" y "emitido por".


Heborradoelnombredemiempresa.Aquísemencionaelnombrede"Mi compañía ABC", no por ejemplo Gmail o Outlook. Este mensaje en particular se toma de la advertencia del navegador web (Outlook o Chrome).

Por ejemplo, para Gmail, dice:

  

"Certificado SHA-1. El certificado de este sitio expira en 2017 o   más tarde, y la cadena de certificados contiene un certificado firmado con   SHA-1. La conexión a este sitio está encriptada y autenticada.   utilizando un protocolo fuerte (TLS 1.2), un fuerte intercambio de claves (ECDHE_RSA)   con P-256), y un cifrado fuerte (AES_128_GCM) ".

¿Me parece que la comunicación de mi cliente al enrutador es segura y sólida, pero no más fuerte de lo que la empresa tiene el poder de descifrar cuando sea necesario? Si bien prometen enviarlo con cifrado completo desde su enrutador que se dirija hacia Inter-AS y el punto final (gmail, Outlook ...).


¿Por qué es así y cuál es el impacto? ¿Se trata de una tendencia de seguridad?

    
pregunta Independent 24.01.2017 - 12:45
fuente

1 respuesta

5

Algunas empresas desean poder inspeccionar todo el tráfico que sale de su red (prevención de pérdida de datos, etc.). Para hacer esto, requieren que todo el tráfico cifrado sea descifrado antes de que salga.

Para hacer esto posible, la empresa emite sus propios certificados para dominios externos. Normalmente, esos certificados son emitidos por Autoridades de Certificación (CA) que actúan como terceros neutrales para este tipo de cosas. Pero en un escenario de Intercepción SSL, la propia compañía emite los certificados. Su tráfico fluye desde su cliente hasta el límite de la empresa, se descifra, se inspecciona, se vuelve a cifrar y luego se pasa al destino.

El problema potencial aquí es que la compañía podría no estar tan actualizada o segura en la forma en que emiten los certificados como una CA. Pero eso podría no ser un gran problema porque las únicas personas de las que está protegido son los otros empleados de la empresa.

Entonces, para responder a su pregunta, el certificado local, emitido por la compañía, no es tan criptográficamente sólido como podría ser, y su navegador está emitiendo esa advertencia.

    
respondido por el schroeder 24.01.2017 - 13:10
fuente

Lea otras preguntas en las etiquetas

Iniciar sesión en un sitio web. Podemos usar RSA para enviar la contraseña del cliente al servidor, pero ¿qué ocurre al revés? ¿Son normales estas entradas de registro?