V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
tyhunter
V2EX  ›  问与答

公司要求安装 CA 证书才能连接 wifi,怎么判断是否会监控浏览内容

  •  
  •   tyhunter · 2020-07-01 11:35:10 +08:00 · 7040 次点击
    这是一个创建于 1608 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前来看 chrome 小绿锁的证书来源还是网站颁发的
    mnssbe
        1
    mnssbe  
       2020-07-01 11:39:46 +08:00   ❤️ 1
    让你装证书就是要解密你的 https
    594duck
        2
    594duck  
       2020-07-01 11:40:08 +08:00   ❤️ 1
    CA 证书连接 WIFI 是最安全的操作,另外,公司部署深信服这类东西你也无从感知。所以最简单的事情就是公司是公司自己是自己。不要贪小便宜去蹭公司的网。

    另外,微信这垃圾东西加密等于没有,QQ 安全,深信服之类的设备哪怕要监控 QQ 也要安装 Agent 。所以多用 QQ,不要贪小,公司和个人分分开。
    594duck
        3
    594duck  
       2020-07-01 11:43:54 +08:00   ❤️ 1
    @mnssbe 你这瞎说了,WIFI 用 CA 证书是正常操作。
    bkmi
        4
    bkmi  
       2020-07-01 11:45:10 +08:00 via Android
    @594duck QQ 比微信安全? 你怕是在说反话吧。
    微信的安全级别不知道比 QQ 高到哪去了。
    tyhunter
        5
    tyhunter  
    OP
       2020-07-01 11:46:33 +08:00
    @mnssbe 可是小绿锁里面的证书颁发机构还是网站本身
    @594duck 没装 local agent,微信这些走私有协议的客户端还是放心的,害, 就是对于浏览器网站这块比较好奇。当然公司可以一直可以看到我日常浏览哪些网站(域名),但就是不太想被看到内容
    Counter
        6
    Counter  
       2020-07-01 11:46:43 +08:00
    @bkmi 愿闻其详
    tomczhen
        7
    tomczhen  
       2020-07-01 11:51:59 +08:00 via Android   ❤️ 1
    装 CA 不一定是为了监控,可能是因为 HTTPS 想做 Web 认证跳转,不过装了之后确实是可以做监控,只看有没有部署设备。
    ruixue
        8
    ruixue  
       2020-07-01 11:57:15 +08:00   ❤️ 3
    可以试试 Firefox 。Firefox 有自己的 CA Certificates 列表,默认不使用系统的根证书设置,如果打开 https 网站报证书错误就说明 https 遭遇中间人了
    bkmi
        9
    bkmi  
       2020-07-01 11:57:37 +08:00 via Android
    @594duck @Counter QQ Android 客户端,就现在还有一部分 HTTP 的请求,URL 上有你双方的 QQ 号,图片可以直接访问。

    再看微信,全 https 就不说了,就算你用自签证书抓到了图片地址,还需要客户端解密才能查看。

    高下立判。
    ouqihang
        10
    ouqihang  
       2020-07-01 12:09:46 +08:00   ❤️ 1
    记得安装的时候可以选,如果这个证书只用来验证,不用来解密内容,只选一个,另一个不选,也可以正常用。连接指南里应该会写。
    594duck
        11
    594duck  
       2020-07-01 12:11:55 +08:00
    @bkmi 请看一下这个图文并貌的深信服内部社区怎么做的 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=79055

    QQ 桌面端是自有协议,深信服要监控必须安装一个 Agent,普通 手段还不行。我 18 年的时候还知道深信服是直接可以看微信的,除非 这二年他又高级升级了。

    至于 android,你一定要用 android 我们也没办法。IPHONE 又稳定又安全,不需要折腾,是我们老年人最爱用的东西了。

    这里有个历史 故事可能你不知道,在 IPHONE7 之前,我身边的朋友买 Android 的工作效率都不高因为他们都在研究如何刷机。日日刷,夜夜刷,天天刷。我也搞不懂这经历这么折腾一部电话干吗,电话不就是接打,发消息,打游戏,做做 GTD 的工具么。
    594duck
        12
    594duck  
       2020-07-01 12:15:10 +08:00
    @bkmi 微信客户端在某次更新后,也需要安装准入了。人家工程师的回复里说的蛮清楚了

    1 、QQ ( windows )、TIM 需要安装准入

    2 、微信网页版、新浪微博( iphone 、android 、网页版)需要开启 SSL 内容审计

    3 、腾讯微博(网页版)

    4 、12.0.5 版本支持审计 PC 微信客户端聊天内容,需要安装准入

    5 、skype ( windows 版本 8.0 之前的版本是可以支持的,skype 8.0 后面的版本不支持) 需要安装准入

    6 、其余 IM 默认不支持
    bkmi
        13
    bkmi  
       2020-07-01 12:43:35 +08:00 via Android
    @594duck 我举例 Android 是因为我刚刚用 Android 抓包测试确认,PC 端当然也有,参考爱快的 IM 记录,而且不用安装任何准入终端。

    除了网页版,哪家用的不是自有协议?

    装了准入终端,靠 Hook+截屏+OCR,什么软件不能监控?

    另外用 iPhone 用出优越感了?
    shmilypeter
        14
    shmilypeter  
       2020-07-01 12:53:37 +08:00
    完了,装证书肯定是被中间人了,你什么流量都能看到。
    Jirajine
        15
    Jirajine  
       2020-07-01 12:56:53 +08:00 via Android   ❤️ 1
    系统装了没关系,Firefox 里没装就没问题。
    youthfire
        16
    youthfire  
       2020-07-01 12:59:16 +08:00 via iPhone
    公司路由器还有不监控访问记录的?几乎没有
    0gys
        17
    0gys  
       2020-07-01 13:02:36 +08:00 via Android   ❤️ 1
    qq 微信要安装准入才能监控。钉钉不支持。安装证书就是解密 https 的,还有就是为安全着想,避免被人蹭网。深信服我用过。界面功能垃圾的要死。也就是能用,但绝对不是好用。
    tankren
        18
    tankren  
       2020-07-01 13:06:36 +08:00
    公司网络不要做违法或者不合规的事情就好了 当然还要看领导变不变态 政策是不是很严
    uTOmOuk3L6sb4MSI
        19
    uTOmOuk3L6sb4MSI  
       2020-07-01 13:09:04 +08:00 via iPhone
    @ruixue #8
    用黑 /白名单的话,你怎么知道是哪些网站
    gamexg
        20
    gamexg  
       2020-07-01 13:10:44 +08:00   ❤️ 2
    @tyhunter #5 检查下 https 根证书是否是正确的。
    原来做过,自签根证书,然后拦截 https 请求,自动根据网站证书生成一致的证书后使用自签根认证。
    只看网站证书,除了指纹看不出明显的问题。
    marcushbs
        21
    marcushbs  
       2020-07-01 13:13:16 +08:00
    公司只是想让员工在公司好好上班,不要摸鱼
    dndx
        22
    dndx  
       2020-07-01 13:15:56 +08:00   ❤️ 1


    找到导入的证书,只信任 EAP 那一项不信任其它,证书就没有办法用作 MITM,只能用来 802.1x 认证。

    不过如楼上所说,公司真想监控你办法多的是。。直接在办公室装监控好了,哪需要这么复杂。
    tyhunter
        23
    tyhunter  
    OP
       2020-07-01 13:22:21 +08:00
    @ruixue
    @Jirajine
    暂时就先不换浏览器了,按照 22L @dndx 大佬说只信任 EAP 可以连接 Wifi
    c2const
        24
    c2const  
       2020-07-01 13:43:24 +08:00 via iPhone
    如果有带宽稍大的国内服务器,搭个 vpn,自己再加密一次,屁事没有。
    ihciah
        25
    ihciah  
       2020-07-01 13:44:49 +08:00
    楼主字节吗(狗头)
    tyhunter
        26
    tyhunter  
    OP
       2020-07-01 14:00:58 +08:00
    @ihciah 嘘(狗头)
    ihciah
        27
    ihciah  
       2020-07-01 14:11:02 +08:00 via iPhone
    @tyhunter 只信任 EAP 用的证书应该没问题…现在走用户名密码登录就是这种了。不知道后续换证书认证 seal 会不会塞个 CA 就是了,我还没搞,观望中
    shenlanAZ
        28
    shenlanAZ  
       2020-07-01 14:25:39 +08:00
    安装证书链接 WiFi 常规操作 协议就是 WPA 2-企业(我这里是这样的)。

    电脑里产出重要的东西本来就是要开放给公司的。

    至于公司想看你都跑去哪个社区划水了 我觉得吧 随便。
    zhchyu999
        29
    zhchyu999  
       2020-07-01 14:33:07 +08:00
    @594duck 你可能生活在自己的世界里,iOS 稳定安全?周围朋友刷机就不稳定安全?
    是不是你圈子的问题。
    我周围用手机的怎么就没什么问题,你朋友的问题变成了 Android 的问题
    iOS 不刷机是因为 iOS 刷不了机还是能刷机没人刷
    Xusually
        30
    Xusually  
       2020-07-01 15:28:40 +08:00 via iPhone   ❤️ 1
    wifi 802.1x EAP 基本操作吧
    企业部署很正常啊
    594duck
        31
    594duck  
       2020-07-01 15:40:41 +08:00
    @zhchyu999 噢哟,看了一下你的发贴记录,原来是看不得人家用 Iphone 呀。行了行了,Block 名单多加一个的事。太年轻了小伙子。
    tallest
        32
    tallest  
       2020-07-01 17:57:31 +08:00
    @bkmi > 就算你用自签证书抓到了图片地址,还需要客户端解密才能查看。
    tallest
        33
    tallest  
       2020-07-01 17:58:07 +08:00
    @bkmi > 就算你用自签证书抓到了图片地址,还需要客户端解密才能查看。
    并不需要解密,也是一个静态的资源链接。
    bkmi
        34
    bkmi  
       2020-07-01 19:11:27 +08:00
    @tallest image/wxpc 了解一下?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2743 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 15:20 · PVG 23:20 · LAX 07:20 · JFK 10:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.