我对SSL知之甚少,但我读过一些东西,我想知道是否有可能拦截客户端和服务器之间的通信(例如,公司可以监控员工的数据传输?)。 我认为这是一项艰巨的任务,但看起来很简单。当客户端请求https连接时,可以指示路由器拦截密钥交换并向服务器和客户端发送它自己的公钥(进一步它可以对空洞流量进行编码/解码)。 是真的,还是我误解了什么?
答案 0 :(得分:5)
如果您所控制的CA在员工使用的所有浏览器中都受信任,则很容易实现:
公司代理需要动态创建类似于原始证书的证书,并将这些证书提供给客户。所有信息都可以从真实证书中获取,唯一的区别在于CA签署证书。
但是,至少谷歌浏览器会抱怨谷歌拥有的域名,因为他们有明确的白名单,CA可能会签署用于谷歌域名的证书。
答案 1 :(得分:2)
在公司网络中,公司拥有SSL CA:s通常安装在所有计算机上。在这种情况下,公司代理可以提供将被浏览器接受的公司证书,并读取流量。
我查看证书详细信息(可在浏览器的地址栏中找到),您可以检查它是否是远程服务器的预期证书,或者是否是该公司创建的另一个证书。
您可以使用例如http://www.sslshopper.com/ssl-checker.html#hostname=www.google.com来检查它应该是什么证书。 (显然将主机名更改为您要使用的任何服务器)
答案 2 :(得分:1)
部分正确:您描述的流程可以正常运行,但会通知客户端服务器证书不是预期的(未经认证,已分配给其他站点)。因此,如果没有他们的了解,就不可能透明地进行,但这在企业环境中是可以接受的。