我们公司最近实施了Zscaler代理过滤,我刚刚学会了使用推出到我们所有机器的根证书来伪造SSL证书以便对我们的流量进行mitm过滤。就个人而言,我对此并不满意,但我们做了很多敏感的工作,所以我不会抱怨。
但是现在我注意到他们似乎并没有持续做到这一点。例如,如果我在工作网络上访问Facebook,则证书由ZScaler Intermediate Root CA签名,这显然意味着它已被泄露。但是,如果我去,比如说,我的银行,它说它是由Verisign签署的。我认为这意味着银行连接没有被截获并且仍然是端到端加密的吗?
答案 0 :(得分:8)
Zscaler允许管理员配置哪些站点/域/类别将被解密或不被解密以供检查。听起来你的管理员已经在财务类别中禁用了SSL解密网站,因此流向你的银行的流量没有被解密,而流向Facebook的流量却是。
至于确定哪些流量被解密并且未被解密,您是完全正确的 - 检查SSL证书以及它是否由Zscaler证书签名,那么流量就是中间人“#39 ;编如果它是由任何其他证书(包括Verisign / etc)签署的,那么它就不会被MITM&#39兴。