这是一个创建于 2903 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天在删沃通根证书的时候,偶然发现电脑里居然还有以公司名字命名的根证书,于是顺手就把它停了。停了之后,访问网站也没什么变化,能访问的依然能访问,不能访问的(如在线视频网站、游戏网站等)依然不能访问。我还以为禁用根证书之后,能上班时间看优酷了。。。
所以就是想问问各位,根证书有没有监视员工访问了什么网址的功能?
第 1 条附言 · 2016-12-06 09:09:41 +08:00
统一回复:看来真的是我太敏感了,这个东西本身是保护员工网络环境的,虽然像回复里说的那样「可以用来监视」,但大多数企业一般不会这么做(没有哪个网管那么闲吧)。如果各位觉得还是不放心,可以加个 SS 混淆一下。。。
 |
1
SourceMan 2016-12-05 13:01:41 +08:00 via iPhone
解密你的 HTTPS 的访问
|
 |
2
letitbesqzr 2016-12-05 13:03:44 +08:00
按理说 删除公司根证书 再访问 https 的网站就会提示错误了。。 给你装根证书就是为了替换你访问网站的证书 然后解密流量
|
 |
3
shoaly 2016-12-05 13:05:04 +08:00
当你访问淘宝的时候, 输入 taobao.com 淘宝购买的 GlobalSign 证书 来确保你访问的 taobao.com 是真正的淘宝, 并且中间的购物信息不被监听
当公司有了根证书, 公司可以也给淘宝重新签发一个伪证书, 然后你跟淘宝之间的信息就被公司截获了 另外不论公司有没有跟证书, 他都能知道你访问了那些域名 |
|
4
letitbesqzr 2016-12-05 13:06:54 +08:00
要想上班时间看,试试 ss 之类的软件吧。当然 如果公司在你电脑上都装的有软件的话,那也没办法
|
 |
5
tony1016 2016-12-05 13:07:16 +08:00  1
这和监视没有关系吧,只是可能你们公司有自己的网站部署了自己的证书系统而已吧。当然被自己公司钓鱼另当别论
|
 |
11
avrillavigne 2016-12-05 13:22:47 +08:00
贵司没有自签证书的网站吗?比如 outlook exchange owa 啥的。
|
 |
12
Jasmine2016 OP @letitbesqzr 我刚才再次试了一下访问 https 的京东,显示的证书是 GlobalSign ,跟之前一样。没禁用公司根证书之前,也是走的 GlobalSign 证书。我一直用着 SS PAC 模式.
|
|
13
Jasmine2016 OP @shoaly 我又启用了公司的根证书,但是访问任何网站的时候都没有调用公司的证书。。。所以才感到奇怪,不知道他这个有何大用途,哈哈。
|
|
14
Jasmine2016 OP @avrillavigne 这个我不太清楚,不过公司的邮箱用的是 Exchange....这方面知识不够- -
|
 |
15
venster 2016-12-05 13:27:19 +08:00 via iPhone 1
企业网络里发放自签名证书再正常不过了,总不能内建个小网站还要申请个公共签名的证书吧?还有内部的一些加密通讯什么的,建个证书服务器太方便了
|
|
16
Jasmine2016 OP |
|
17
Jasmine2016 OP @venster 谢谢。看来还是启用自建证书比较好对吧?
|
 |
18
hst001 2016-12-05 13:35:52 +08:00 via Android 1
这个只是为了方面你们访问公司相关网站防止流量被外面的劫持,是种保护措施,说监听员工的洗洗睡吧, https 原理都没搞懂净瞎扯。
|
 |
19
9hills 2016-12-05 13:37:19 +08:00 1
|
|
20
Jasmine2016 OP |
 |
21
RqPS6rhmP3Nyn3Tm 2016-12-05 13:56:02 +08:00 via iPad
有些公司会用自签名的邮件系统和 VPN ……
|
 |
23
hqfzone 2016-12-05 15:07:21 +08:00
真逗,还有拿 https 原理说不能劫持的……
|
 |
24
SharkIng 2016-12-05 15:32:26 +08:00
我们公司 VPN 和一些内部网站全部都是自签证书,不过公司不管安装根证书,自己需要自己弄的感觉。
反正公司电脑,无所谓了,也没有自己的东西。 |
 |
25
lslqtz 2016-12-05 15:39:13 +08:00
@hst001 使用外面签发的证书也不会被劫持, http 也不会被外面劫持(内网有可能)
有这可能性还不如直接拿下 web 服务器,也不用什么证书了改 PHP 就好了。 |
|
26
shoaly 2016-12-05 16:21:16 +08:00
@Jasmine2016 放了 CA 只是说拥有了公司"操你"的能力, 并不代表他就"操了"你啊
|
 |
28
hack 2016-12-05 16:52:18 +08:00
@letitbesqzr 一些公司不一定有内容监控需求,反过来,装证书可能只是为了监控个别站点,比如人事招聘类
|
|
29
tony1016 2016-12-05 17:01:28 +08:00
|
 |
31
laoyur 2016-12-05 17:10:15 +08:00
@tony1016 😅 ,到底谁在搞笑……如果你信任 WoSign 的证书,且 ZF 想这么做,那就可以看到你的 Gmail 内容
|
 |
32
defclass 2016-12-05 17:23:21 +08:00
中间人, 完全是可以的阿.
|
 |
34
Citrus 2016-12-05 17:46:27 +08:00
这么多被害妄想。。。这玩意最大的作用是 Windows 的 域 。。。。。。。。。
很多公司的域相关服务都是用自签 CA 签的,禁用之后很多 AD 相关如邮件之类的都会出问题的。 |
 |
36
doubleflower 2016-12-05 19:11:07 +08:00 via Android 1
@hqfzone 同学你知不知道安卓上有免费的网络调试器 app 叫 packet capture ,安装了这个 app 提供的根证书后,所有 app 的 https 请求都能看到明文了,爬虫爱好者的利器
|
|
37
doubleflower 2016-12-05 19:15:26 +08:00
@hqfzone 不好意思 @错人了
|
 |
39
techyan 2016-12-05 21:54:09 +08:00
@tony1016
http://www.williamlong.info/archives/4183.html 中国 ZF 的确使用过 CNNIC 的证书来中间人攻击 Gmail 。 Wosign 和 CNNIC 只有一步之遥。 |
 |
40
GordianZ MOD 2
T: 照这么说, ZF 拥有 WoSign 的证书,那你访问 Gmail (如果可以),内容都可以被窃听??这不搞笑吗?
ZF: 刚才你问我啊,我可以回答你一句“无可奉告”,那你们又不高兴,那怎么办? |
 |
43
mrhuiyu 2016-12-06 08:40:52 +08:00 1
网管现身说法。
给你们放证书首先,就特么是邮箱啦。 其次,就是监视你们了。 最后也是我接下来这一阵子要做的是,防污染, |
|
44
mrhuiyu 2016-12-06 08:41:32 +08:00
当然,有些公司是就很单纯的有邮箱,
|
 |
45
sgissb1 2016-12-06 11:33:07 +08:00
@choury 我记得 HW 是要走他们的反向代理服务器的,所以你的电脑不需要装证书的样子,反向代理这一端就可以做流量拷贝了。。。。
|
 |
47
Hardrain 2016-12-08 10:26:48 +08:00 via Android
如果有罪推论,可以认为是公司为审计系统通过中间人攻击解密你的 SSL 通信提供方便.
|
Select Language