这是一个创建于 3233 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天在删沃通根证书的时候,偶然发现电脑里居然还有以公司名字命名的根证书,于是顺手就把它停了。停了之后,访问网站也没什么变化,能访问的依然能访问,不能访问的(如在线视频网站、游戏网站等)依然不能访问。我还以为禁用根证书之后,能上班时间看优酷了。。。
所以就是想问问各位,根证书有没有监视员工访问了什么网址的功能?
第 1 条附言 2016-12-06 09:09:41 +08:00
统一回复:看来真的是我太敏感了,这个东西本身是保护员工网络环境的,虽然像回复里说的那样「可以用来监视」,但大多数企业一般不会这么做(没有哪个网管那么闲吧)。如果各位觉得还是不放心,可以加个 SS 混淆一下。。。
 | 1 SourceMan 2016-12-05 13:01:41 +08:00 via iPhone 解密你的 HTTPS 的访问 |
 | 2 letitbesqzr 2016-12-05 13:03:44 +08:00 按理说 删除公司根证书 再访问 https 的网站就会提示错误了。。 给你装根证书就是为了替换你访问网站的证书 然后解密流量 |
 | 3 shoaly 2016-12-05 13:05:04 +08:00 当你访问淘宝的时候, 输入 taobao.com 淘宝购买的 GlobalSign 证书 来确保你访问的 taobao.com 是真正的淘宝, 并且中间的购物信息不被监听 当公司有了根证书, 公司可以也给淘宝重新签发一个伪证书, 然后你跟淘宝之间的信息就被公司截获了 另外不论公司有没有跟证书, 他都能知道你访问了那些域名 |
| 4 letitbesqzr 2016-12-05 13:06:54 +08:00 要想上班时间看,试试 ss 之类的软件吧。当然 如果公司在你电脑上都装的有软件的话,那也没办法 |
 | 5  1 这和监视没有关系吧,只是可能你们公司有自己的网站部署了自己的证书系统而已吧。当然被自己公司钓鱼另当别论 |
 | 11 avrillavigne 2016-12-05 13:22:47 +08:00 贵司没有自签证书的网站吗?比如 outlook exchange owa 啥的。 |
 | 12 Jasmine2016 OP @letitbesqzr 我刚才再次试了一下访问 https 的京东,显示的证书是 GlobalSign ,跟之前一样。没禁用公司根证书之前,也是走的 GlobalSign 证书。我一直用着 SS PAC 模式. |
| 13 Jasmine2016 OP @shoaly 我又启用了公司的根证书,但是访问任何网站的时候都没有调用公司的证书。。。所以才感到奇怪,不知道他这个有何大用途,哈哈。 |
| 14 Jasmine2016 OP @avrillavigne 这个我不太清楚,不过公司的邮箱用的是 Exchange....这方面知识不够- - |
 | 15 venster 2016-12-05 13:27:19 +08:00 via iPhone 1 企业网络里发放自签名证书再正常不过了,总不能内建个小网站还要申请个公共签名的证书吧?还有内部的一些加密通讯什么的,建个证书服务器太方便了 |
| 16 Jasmine2016 OP |
| 17 Jasmine2016 OP @venster 谢谢。看来还是启用自建证书比较好对吧? |
 | 18 hst001 2016-12-05 13:35:52 +08:00 via Android 1 这个只是为了方面你们访问公司相关网站防止流量被外面的劫持,是种保护措施,说监听员工的洗洗睡吧, https 原理都没搞懂净瞎扯。 |
 | 19 9hills 2016-12-05 13:37:19 +08:00 1 |
| 20 Jasmine2016 OP |
 | 21 RqPS6rhmP3Nyn3Tm 2016-12-05 13:56:02 +08:00 via iPad 有些公司会用自签名的邮件系统和 VPN …… |
 | 23 hqfzone 2016-12-05 15:07:21 +08:00 真逗,还有拿 https 原理说不能劫持的…… |
 | 24 SharkIng 2016-12-05 15:32:26 +08:00 我们公司 VPN 和一些内部网站全部都是自签证书,不过公司不管安装根证书,自己需要自己弄的感觉。 反正公司电脑,无所谓了,也没有自己的东西。 |
 | 25 lslqtz 2016-12-05 15:39:13 +08:00 @hst001 使用外面签发的证书也不会被劫持, http 也不会被外面劫持(内网有可能) 有这可能性还不如直接拿下 web 服务器,也不用什么证书了改 PHP 就好了。 |
| 26 shoaly 2016-12-05 16:21:16 +08:00 @Jasmine2016 放了 CA 只是说拥有了公司"操你"的能力, 并不代表他就"操了"你啊 |
 | 28 hack 2016-12-05 16:52:18 +08:00 @letitbesqzr 一些公司不一定有内容监控需求,反过来,装证书可能只是为了监控个别站点,比如人事招聘类 |
| 29 tony1016 2016-12-05 17:01:28 +08:00 |
 | 31 laoyur 2016-12-05 17:10:15 +08:00 @tony1016 ,到底谁在搞笑……如果你信任 WoSign 的证书,且 ZF 想这么做,那就可以看到你的 Gmail 内容 |
 | 32 defclass 2016-12-05 17:23:21 +08:00 中间人, 完全是可以的阿. |
 | 34 Citrus 2016-12-05 17:46:27 +08:00 这么多被害妄想。。。这玩意最大的作用是 Windows 的 域 。。。。。。。。。 很多公司的域相关服务都是用自签 CA 签的,禁用之后很多 AD 相关如邮件之类的都会出问题的。 |
 | 36 doubleflower 2016-12-05 19:11:07 +08:00 via Android 1 @hqfzone 同学你知不知道安卓上有免费的网络调试器 app 叫 packet capture ,安装了这个 app 提供的根证书后,所有 app 的 https 请求都能看到明文了,爬虫爱好者的利器 |
| 37 doubleflower 2016-12-05 19:15:26 +08:00 @hqfzone 不好意思 @错人了 |
 | 39 techyan 2016-12-05 21:54:09 +08:00 @tony1016 http://www.williamlong.info/archives/4183.html 中国 ZF 的确使用过 CNNIC 的证书来中间人攻击 Gmail 。 Wosign 和 CNNIC 只有一步之遥。 |
 | 40 GordianZ 2016-12-05 23:21:13 +08:00 2 T: 照这么说, ZF 拥有 WoSign 的证书,那你访问 Gmail (如果可以),内容都可以被窃听??这不搞笑吗? ZF: 刚才你问我啊,我可以回答你一句“无可奉告”,那你们又不高兴,那怎么办? |
 | 43 mrhuiyu 2016-12-06 08:40:52 +08:00 1 网管现身说法。 给你们放证书首先,就特么是邮箱啦。 其次,就是监视你们了。 最后也是我接下来这一阵子要做的是,防污染, |
| 44 mrhuiyu 2016-12-06 08:41:32 +08:00 当然,有些公司是就很单纯的有邮箱, |
 | 45 sgissb1 2016-12-06 11:33:07 +08:00 @choury 我记得 HW 是要走他们的反向代理服务器的,所以你的电脑不需要装证书的样子,反向代理这一端就可以做流量拷贝了。。。。 |
 | 47 Hardrain 2016-12-08 10:26:48 +08:00 via Android 如果有罪推论,可以认为是公司为审计系统通过中间人攻击解密你的 SSL 通信提供方便. |
Select Language