Ich versuche, SSL / TLS zu verstehen. Was folgt, ist eine Beschreibung eines Szenarios und einige Annahmen, die Sie hoffentlich bestätigen oder widerlegen können.
Frage
Wie kann mein Arbeitgeber ein Mann sein? -in der Mitte, wenn ich eine Verbindung zu Google Mail herstelle? Kann er das überhaupt?
Das heißt: Kann der Arbeitgeber die Verbindung zwischen dem Browser auf meinem Arbeitscomputer und dem Webproxyserver des Arbeitgebers entschlüsseln und die Daten beispielsweise für Virenscans im Klartext lesen? , die Daten neu verschlüsseln und an Google senden, ohne dass ich es merke?
Browser auf dem Computer des Mitarbeiters < -> Web-Proxy-Server des Arbeitgebers < -> Google Mail-Server
Die Der Arbeitgeber kann jedes selbstsignierte Zertifikat auf den Computern des Unternehmens installieren. Immerhin ist es seine Infrastruktur.
Szenario: Was ich tue
- Öffnen Sie mit einem Browser http: // www. gmail.com (Hinweis http, nicht https)
- Ich werde zur Google-Anmeldeseite weitergeleitet: https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm = false&continue = https: //mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1
- Ich gebe meinen Benutzernamen und mein Passwort ein Ich werde zu Google Mail weitergeleitet: https://mail.google.com/mail/u/0/?pli=1#inbox
- Ich klicke auf das SSL-Sperrsymbol im Browser ... ol>
... und sehen Sie Folgendes:
- Ausgestellt an: mail.google.com
- Ausgestellt von: "Name des Arbeitgeberunternehmens"
- Gültig ab: 01.01.2014 - 31.12.2014
- Zertifizierungspfad: "Name des Arbeitgeberunternehmens" -> "Name des Web-Proxy-Servers des Arbeitgebers" -> mail.google.com
Annahme
Ich gehe jetzt davon aus dass das SSL-Schlosssymbol im Browser grün wird, aber tatsächlich keine sichere Verbindung vom Browser zum Google Mail-Server besteht.
Ist das richtig?
Quellen
Ich habe diese Quellen gelesen, verstehe sie aber immer noch nicht ganz:
- Gibt es eine Methode, um einen aktiven Mann in der Mitte zu erkennen?
- Verhindern, dass ein Mann in der Mitte gefälscht wird?
- Wie funktioniert SSL / TLS?
- Werden mein Login und mein Passwort auf dem Webproxyserver des Arbeitgebers im Klartext gelesen?
- Was muss ich im Browser überprüfen, um sicherzustellen, dass ich über eine Sicherheit verfüge? Verbindung vom Browser bis zum Google Mail-Server? ol>
BEARBEITEN, 18.07.2014
- Datenschutz ist kein Problem . Ich bin nur neugierig, wie TLS in diesem speziellen Szenario funktioniert. Welche anderen Mittel der Arbeitgeber hat, um die Kommunikation abzufangen (Keylogger usw.), ist in diesem speziellen Fall nicht relevant.
- Rechtliche Angelegenheiten sind kein Problem. Mitarbeiter dürfen innerhalb bestimmter Grenzen firmeneigene IT-Geräte für die private Kommunikation nutzen. Andererseits behält sich der Arbeitgeber das Recht vor, eine Überwachung durchzuführen, ohne die Privatsphäre zu verletzen.