中間者のBlue CoatプロキシSSLまたは何ですか?
職場でBlue Coatネットワークプロキシのいくつかの新機能が有効になっていることを発見しました。 ChromeのすべてのHTTPS証明書がこの内部サーバーによって発行されているようです。接続中、「このWebサイトのIDは次によって検証されました」と表示されます。これは内部IPであり、 「このウェブサイトのIDはGoogle Internet Authorityによって確認されています」ではなく、企業ネットワークまたはUbuntu VMでを実行していない場合と同様です。
ChromeはこのプロキシをCAとして許可しているので、すべてが大丈夫のようですが、これも少し心配になります。実際、彼らは私の通信を調べることができる中間者を行っていますか?
最終的に使用するCAを設定するにはどうすればよいですか?複数使用できますか?
他の回答がすでにカバーしているように、ブルーコート(他のセキュリティ製品の1つ)には、ネットワーク上のユーザーのSSLセッションをインターセプトしてトラフィックを検査する機能があります。
この情報で会社ができることとできないことは、現地の法律と、会社に入社したときに署名した契約に依存します。
ローカルマシンに十分な権限がある場合は、信頼できるCAリストからbluecoat CAを削除できる可能性がありますが、アクセスするサイトに信頼できない証明書があるように見えるため、ブラウザで警告が表示されるだけです(つまり、トラフィックの遮断が引き続き発生します)。
会社が情報をどのように扱っているかが気になる場合は、セキュリティ担当者またはプライバシー担当者(または場合によってはHR)に相談して、問題に関する会社のポリシーを確認してください。ただし、最終的には傍受を回避する唯一の方法です。あなたの管理下にあるデバイス/接続を使用することになります。
これを行うのは一般的な習慣であり、彼らは実際にある種の人を真ん中にしています。 Blue Coatはプロキシとして機能しますが、見ているWebサイトも検査します( https://kb.bluecoat.com/index?page=content&id=FAQ46 を参照)。あなたが彼らのネットワークに取り組んでいることを考えると、彼らはこれを行う権利を持っています。ブルーコートは、次の目的でよく使用されるツールです。
- ユーザーが不正なリンクをダウンロードまたはアクセスできないようにする
- コンテンツフィルタリング
- データ損失防止(たとえば、企業ドキュメントをプライベートGmailに送信する)
SSLプロキシは実際には私の知る限り2番目と最後の1つに使用されます。他の可能な用途についてはわかりません。お住まいの国によっては、このデータの処理方法に厳しい規則があることに注意してください。しかし、前に述べたように、それはあなたのネットワークではなく、おそらく契約内に含まれているため、雇用主は実際にこれを行うことができます。
私は他の人が述べた技術的側面に同意し、法的な意見は他人に任せていますが、TLS実装には、エンドユーザーに安全な接続を提供するための明らかな失敗があります。
「合法的」および「違法な」中間者攻撃に技術的な違いはなく、エンドユーザーは状況について明確に警告されるべきです。
作業機械を使用しています。あなたの雇用主はあなたにMITMを実行するあらゆる権利を持っています。そうすることには正当な理由があります。
これを避けたい場合は、個人用のものには自分のマシンを使用し、仕事には厳密に作業用マシンを使用してください。