雇用主が私の電話のルートCAを置き換えることは可能ですか?
ネットワークで発生するSSLを介したトラフィックを監視するために会社のハードウェアのルートCAを置き換える企業MITMの「攻撃」について読みましたが、接続すると個人の電話でも同じことができるようになります。 wifiに?
電話への管理者アクセス権がないため、httpsトラフィックを復号化できないと思いますが、これはネットワーク管理者が見ようとするものかもしれないと思うかもしれません。
1つ目は、CAを置き換えることではなく、別のCAを追加することです。つまり、SSL接続のインターセプトに使用されるプロキシCAです。 Wifiに接続したときだけ、プライベート電話にCAを追加することはできません。
ただし、プロキシCAをインストールしていない限り、証明書を検証できなくなるため、SSL接続は企業ネットワーク内では機能しません。クライアントにプロキシCAがインストールされていない場合、SSL接続のインターセプトを停止するだけではなく、インターセプトし、結果として生じる問題をクライアントに残します。
また、通常、企業が自社のネットワーク内でSSLインターセプトを行ってインフラストラクチャを保護することは完全に合法です。 SSLはWebサイトを魔法のように安全にするのではなく、トランスポートを保護するだけです。マルウェアは引き続き、SSLを使用してWebサイトから配信される可能性があります。これは、サイトがハッキングされたため、故意またはより一般的です。プライベート電話が会社のネットワーク内で監視されているのが気に入らない場合は、接続しないでください。これは、気にする必要のない攻撃ベクトルの1つであるため、おそらく企業にとってもより安全です。
ステファンの優れた答えに追加するには、電話をWiFiに接続するだけでは、証明書(CAなど)を追加することはできません。ただし、雇用主のモバイルデバイス管理([〜#〜] mdm [〜#〜])を電話で有効にした場合-会社のメールアカウントへのアクセスや内部(イントラネット)Webページに接続します。MDMソフトウェアがルートCA証明書をインストールできる場合があります。
MDMが可能にすることの詳細は、電話のオペレーティングシステムと使用するMDMソフトウェアによって異なりますが、すべての主要なモバイルオペレーティングシステムは少なくとも一部のMDMをサポートしています。一方、MDMが使用されているからといって、CA証明書がインストールされているとは限りません。 MDMは他の多くのものにも使用されます。最も一般的なのは、電話でPINの使用を強制し、電話のデータを暗号化することを要求し、盗まれた場合(または電話などに機密文書がある間に会社を辞めた場合)。
雇用主が使用しているMDM(ある場合)を知るには、IT /ヘルプデスクWebサイトを見て、答えが見つかるかどうかを確認することをお勧めします。そうでない場合は、それについて質問してみてください。または、雇用主から電話に何も追加しないでください-証明書、会社のメールアカウント、会社のアプリなどはありません-個人のデバイスとして保持します。 CA証明書が必要な場合でも、TLS(HTTPSなど)に内部WiFiを使用できない場合があります...