web-dev-qa-db-ja.com

雇用主が自宅の従業員個人用デバイスに自己署名ルート証明書をインストールすることは許容されますか?

職場では、私の雇用主は自己署名ルート証明書を使用して、すべてのSSL/TLSトラフィックをMITMに送信しています。さまざまなマイクロサービスや内部Webサイトで使用される内部証明書の多くも、この証明書によって署名されています。

それは彼らのネットワークと機器であるため、私はこの慣行に本当の問題はありません。

最近、リモートアクセスのためにCitrixからVPNに切り替えることが決定されました。 VPN構成の一部として、雇用主は自己署名ルート証明書を信頼できる証明書ストアにインストールします。

これにより、少なくとも社内の特定の担当者が自宅のコンピューターからの暗号化されたトラフィックを復号化できるようになる可能性があると懸念しています。証明書は、同じエンティティによって署名および発行されたPKS#7証明書です。

このプロセスには透明性がありませんでした。これが影響する可能性のある潜在的なセキュリティ問題について質問しましたが、証明書は「信頼できるソース」から発行されているため、懸念は根拠がないと言われました。私はセキュリティ担当者ではありませんが、これが「信頼できる発行元」によって発行されたと主張することは一見無理があるようです。

あなたへの私の質問は、これは通常のまたは許容できる慣行であり、私が心配すべき何かがありますか?

私は、誰かの開示やポリシーなしに家族のインターネットトラフィックを覗き見する可能性さえあるという考えが好きではありません。

私は無理ですか?

前もって感謝します。

5
0xDEAD_BEEF

これは厳密に法的または技術的な質問ではなく、意見の質問です-「それは許容できますか?」受け入れられますか?

ただし、完全に妥当な技術的ポイントを提示します。システムストアのルート証明書により、その証明書のコントローラーが潜在的になりすまし、MitMテクニックを介してSSL/TLSトラフィックを傍受できるようになります。

実用的な観点からは、会社のBYoDポリシーに該当するはずです。会社用のラップトップを家庭用に要求し、VPNアクセスにのみ使用することができます。または、VPNクライアントをホームマシンにインストールできませんでした。あなたの雇用主はあなたがあなた自身の個人的なマシンを使うことを要求することはできません、しかし彼らの方針はおそらくifのようなものをカバーしますあなたは仕事のリソースで個人的なマシンを使うつもりです、あなたはX、Y、またはZで保護します。また、VPNアクセス用のルート証明書をインストールすると、おそらくこれらの条件に該当します。

最終的に、決定はあなた次第です。潜在的なリスクがあなたが満足しているよりも大きいと感じた場合、私はどちらかを考えます:自宅でのみVPNを使用するように企業のマシンを要求し、他の自宅のマシンを取得し、それをネットワークの残りの部分から分離し、VPNをインストールします、またはVPNアクセスなしで自宅に行きます。あるいは、無料のVirtualBoxまたはVMWareプレーヤーが搭載されたホームマシンの1つで「作業専用」VMを起動し、それにVPNをインストールできますか?

「透明性がない」と「非常に日陰に感じる」ビットは気になることに同意しますが、ほとんどの場合、悪意ではなく無関心によるものだと思います。ほとんどの人は、ルート証明書が何であるか、あるいはなぜ会社の証明書にそれらをインストールするのかさえ知らないでしょう。会社はおそらく悪意のあるスキームを隠していないでしょうが、IT担当者は「自宅からのアクセスを取得する」という問題を解決したいだけです。

結論:あなたは無理ですか?いいえ。しかし、あなたは自分のためにより多くの仕事をしている、そしてあなたが懸念を持っているならそれは理にかなったことです。単にVPNを使用/インストールしないことを除いて、プッシュバックに立ち向かう特定の足があるとは思いません

7
JesseM

はい、信頼できないルートCA証明書をマシンのキーストアにインストールするのは危険です。

VPNルーティングがそのように構成されている場合は、VPNトンネルを通過するすべてのトラフィックをインターネットに簡単にMITMできるようになります。彼らはおそらく、実際のCAと比べて、社内CA証明書のキーに対してはるかに厳格な制御を維持していません。

同時に、ユーザーが自宅のコンピューターにインストールするすべてのプログラムは、社内証明書と同等または潜在的に大きなプライバシーリスクを示します。 VPNクライアントが思い浮かびますが、VPNへの切り替えは、自宅でソフトウェアを実行することを望んでいることを意味します。これは、CitrixからダウンロードしたCitrix製品を使用する場合とは異なります。

あなたは彼らを信用するか、信用しないかのどちらかです。それらを信頼しない場合は、VMまたは2番目のコンピューターを個別にルーティングされたサブネットで使用することを検討してください。別のオプションは、クラウドでホストされるデスクトップを提供するAmazon WorkSpacesのようなサービスを使用することです。

1
trognanders