【证书,IT资产管理,公司内网访问】大公司会在自己的防火墙和网关用自己的根证书替换原证书来解密第三方网站嘛?

感觉题目起长了,而且有点绕 (感觉可以分成几个小问题)。相关的问题我自己这两天搜索了一下,也请教了一下几个LLM,没有得到一个很有实操价值的结果,那要在这里码一下字了。

坛里卧虎藏龙,求教求进步!

【背景】不看应该不太影响 :sweat_smile:

楼主之前在一个做“网络监测IT资产管理系统”的某SaaS公司打工,产品用户一般都是中型的MSP或者是非大型(非财富200)公司的内部IT部门。
之前的理解就是很多公司的内网为了防止数据明文传输就用自签名SSL/TLS 证书来加HTTPS,这样可以自己控制并且降低成本。然后做一些IP限制然后员工会被要求用VPN访问。

最近去了一家规模很大的404公司。他们用的就是“Ivanti”这种针对财富100公司的方案(也有自己写的监测工具,Chef脚本等等),感觉和小公司的做法挺不一样的。

于是职业病犯了好奇他们为什么这么搞以及这样有什么优势。

问题一:使用个人证书+密码+FIDO是不是比传统的VPN+密码+FIDO更安全呢?
公司内网的域名其实是一个对外的域名(ICANN可以查到注册在公司名下,用的是公司自己的域名服务器)访问公司内网没有强制使用VPN(虽然公司也有自己的VPN)。
第一次配置公司电脑时

  1. 公司在配给员工的Mac上加载设备描述文件,下载了公司署名根证书(这个根证书会产生中间证书),最终会产生一个带有我自己用户名的证书。
  2. 会生成一系列帮助IT客服远程处理问题,以及收集诊断信息的工具需要的证书。
  3. 使用公司管理的Chrome浏览器(类似于这个截图)第一次见到感觉蛮有趣的。用Chef装了很多安全相关的插件。公司的内网只能用这个chrome浏览器访问
  4. 使用了一个叫做 Airlock https://www.airlockdigital.com 的工具。每次登陆内网必须要用到自己的证书才能成功(只是密码和FIDO验证,没有证书会被拒绝登陆的)

公司内网里所有我这个小虾米可以访问的东西都是不需要连接VPN的,这样的话是不是可以说用证书验证比用VPN+传统登陆方式更安全呢 (我猜传统session登陆这种会有cookie token被克隆的风险)?

问题二:既然公司在终端安装了自己的根证书,那它是不是可以在设备连接到VPN的情况下在网关/防火墙替换掉目标第三方网站的证书来实现流量解密呢?

这里触及到了我的知识盲区。不是很了解大公司这样替换证书防止内部数据泄露到第三方是不是基本操作了。毕竟看新闻CNNIC这样的曾经的Root CA大机构都会有*.google.com, *.github.com 这样的假“真”证书流出。

假设自己是企业,如果用户终端已经安装了我自己的根证书,用户走内网访问第三方网站,就算我替换第三方网站的证书用户浏览器也不会报错。如果在没有严格法律惩罚机制的情况下,自然还是以自己利益考量在成本可以控制的情况下全面监督 :joy:。想请教见多识广的佬这种走内网替换证书的情况是普遍现象嘛?

问题三:如果证书被替换,是不是目前的技术是不能自己签出来出来一个指纹也一模一样的证书的
这个问题我也是小白,教科书上的理解应该是很难造的但是不知道有没有什么sao操作

5 Likes

没懂tieba_023

1 Like

问的这个问题可能有点阴谋论了 :joy:

不够大白话,简单说只要电脑安装了根证书,就可以劫持浏览器访问的任何站点。至于大公司是不是都会安装根证书,99%都会的

1 Like

我感觉大公司很多都会这样搞,之前不是传某信服监控内部溜得很嘛 :grin:

1 Like

理论上可行,但太阴谋论了。装根证书,方便内网服务是常规操作,你要是担心可以先连个VPN叠一个甲。

1 Like

说的对! 我这个讲法挺阴谋论的,毕竟解密第三方TLS的数据出现大规模泄漏风险也很大 :laughing:

这也是为啥 :laughing:斗胆在这里提问。现在在的这个厂也是有案底的,N年前忽悠用户在手机上安装自己的根证书然后监视竞争对手的app :rofl:

国内这些真是啥都干得出来,所以我一直用苹果

1 Like