这是一个创建于 1606 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前来看 chrome 小绿锁的证书来源还是网站颁发的
 |
1
mnssbe 2020-07-01 11:39:46 +08:00  1
让你装证书就是要解密你的 https
|
 |
2
594duck 2020-07-01 11:40:08 +08:00 1
CA 证书连接 WIFI 是最安全的操作,另外,公司部署深信服这类东西你也无从感知。所以最简单的事情就是公司是公司自己是自己。不要贪小便宜去蹭公司的网。
另外,微信这垃圾东西加密等于没有,QQ 安全,深信服之类的设备哪怕要监控 QQ 也要安装 Agent 。所以多用 QQ,不要贪小,公司和个人分分开。 |
 |
5
tyhunter OP |
 |
7
tomczhen 2020-07-01 11:51:59 +08:00 via Android 1
装 CA 不一定是为了监控,可能是因为 HTTPS 想做 Web 认证跳转,不过装了之后确实是可以做监控,只看有没有部署设备。
|
 |
8
ruixue 2020-07-01 11:57:15 +08:00 3
可以试试 Firefox 。Firefox 有自己的 CA Certificates 列表,默认不使用系统的根证书设置,如果打开 https 网站报证书错误就说明 https 遭遇中间人了
|
 |
9
bkmi 2020-07-01 11:57:37 +08:00 via Android
|
 |
10
ouqihang 2020-07-01 12:09:46 +08:00 1
记得安装的时候可以选,如果这个证书只用来验证,不用来解密内容,只选一个,另一个不选,也可以正常用。连接指南里应该会写。
|
|
11
594duck 2020-07-01 12:11:55 +08:00
@bkmi 请看一下这个图文并貌的深信服内部社区怎么做的 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=79055
QQ 桌面端是自有协议,深信服要监控必须安装一个 Agent,普通 手段还不行。我 18 年的时候还知道深信服是直接可以看微信的,除非 这二年他又高级升级了。 至于 android,你一定要用 android 我们也没办法。IPHONE 又稳定又安全,不需要折腾,是我们老年人最爱用的东西了。 这里有个历史 故事可能你不知道,在 IPHONE7 之前,我身边的朋友买 Android 的工作效率都不高因为他们都在研究如何刷机。日日刷,夜夜刷,天天刷。我也搞不懂这经历这么折腾一部电话干吗,电话不就是接打,发消息,打游戏,做做 GTD 的工具么。 |
|
12
594duck 2020-07-01 12:15:10 +08:00
@bkmi 微信客户端在某次更新后,也需要安装准入了。人家工程师的回复里说的蛮清楚了
1 、QQ ( windows )、TIM 需要安装准入 2 、微信网页版、新浪微博( iphone 、android 、网页版)需要开启 SSL 内容审计 3 、腾讯微博(网页版) 4 、12.0.5 版本支持审计 PC 微信客户端聊天内容,需要安装准入 5 、skype ( windows 版本 8.0 之前的版本是可以支持的,skype 8.0 后面的版本不支持) 需要安装准入 6 、其余 IM 默认不支持 |
|
13
bkmi 2020-07-01 12:43:35 +08:00 via Android
@594duck 我举例 Android 是因为我刚刚用 Android 抓包测试确认,PC 端当然也有,参考爱快的 IM 记录,而且不用安装任何准入终端。
除了网页版,哪家用的不是自有协议? 装了准入终端,靠 Hook+截屏+OCR,什么软件不能监控? 另外用 iPhone 用出优越感了? |
 |
14
shmilypeter 2020-07-01 12:53:37 +08:00
完了,装证书肯定是被中间人了,你什么流量都能看到。
|
 |
15
Jirajine 2020-07-01 12:56:53 +08:00 via Android 1
系统装了没关系,Firefox 里没装就没问题。
|
 |
16
youthfire 2020-07-01 12:59:16 +08:00 via iPhone
公司路由器还有不监控访问记录的?几乎没有
|
 |
17
0gys 2020-07-01 13:02:36 +08:00 via Android 1
qq 微信要安装准入才能监控。钉钉不支持。安装证书就是解密 https 的,还有就是为安全着想,避免被人蹭网。深信服我用过。界面功能垃圾的要死。也就是能用,但绝对不是好用。
|
 |
18
tankren 2020-07-01 13:06:36 +08:00
公司网络不要做违法或者不合规的事情就好了 当然还要看领导变不变态 政策是不是很严
|
 |
19
uTOmOuk3L6sb4MSI 2020-07-01 13:09:04 +08:00 via iPhone
@ruixue #8
用黑 /白名单的话,你怎么知道是哪些网站 |
 |
20
gamexg 2020-07-01 13:10:44 +08:00 2
@tyhunter #5 检查下 https 根证书是否是正确的。
原来做过,自签根证书,然后拦截 https 请求,自动根据网站证书生成一致的证书后使用自签根认证。 只看网站证书,除了指纹看不出明显的问题。 |
 |
21
marcushbs 2020-07-01 13:13:16 +08:00
公司只是想让员工在公司好好上班,不要摸鱼
|
 |
22
dndx 2020-07-01 13:15:56 +08:00 1
 找到导入的证书,只信任 EAP 那一项不信任其它,证书就没有办法用作 MITM,只能用来 802.1x 认证。 不过如楼上所说,公司真想监控你办法多的是。。直接在办公室装监控好了,哪需要这么复杂。 |
|
23
tyhunter OP |
 |
24
c2const 2020-07-01 13:43:24 +08:00 via iPhone
如果有带宽稍大的国内服务器,搭个 vpn,自己再加密一次,屁事没有。
|
 |
25
ihciah 2020-07-01 13:44:49 +08:00
楼主字节吗(狗头)
|
|
27
ihciah 2020-07-01 14:11:02 +08:00 via iPhone
@tyhunter 只信任 EAP 用的证书应该没问题…现在走用户名密码登录就是这种了。不知道后续换证书认证 seal 会不会塞个 CA 就是了,我还没搞,观望中
|
 |
28
shenlanAZ 2020-07-01 14:25:39 +08:00
安装证书链接 WiFi 常规操作 协议就是 WPA 2-企业(我这里是这样的)。
电脑里产出重要的东西本来就是要开放给公司的。 至于公司想看你都跑去哪个社区划水了 我觉得吧 随便。 |
 |
29
zhchyu999 2020-07-01 14:33:07 +08:00
@594duck 你可能生活在自己的世界里,iOS 稳定安全?周围朋友刷机就不稳定安全?
是不是你圈子的问题。 我周围用手机的怎么就没什么问题,你朋友的问题变成了 Android 的问题 iOS 不刷机是因为 iOS 刷不了机还是能刷机没人刷 |
 |
30
Xusually 2020-07-01 15:28:40 +08:00 via iPhone 1
wifi 802.1x EAP 基本操作吧
企业部署很正常啊 |
Select Language