То, что делает ваш работодатель, является обычным делом, и использование самозаверяющего сертификата для этого на самом деле является единственным способом, поскольку ни один ЦС не выдаст сертификат организации, которую вы затем сможете использовать для подписания других сертификатов (если вы запускаете свой собственный ЦС - например, службы AD CA - для этого может быть выдан сертификат, но он все равно будет получен из корневого сертификата организации, который будет самоподписан).
Принципиально, чтобы делать такие вещи, как
- блокировать сайты https без плохого взаимодействия с пользователем (пусть браузер отображает страницу блокировки прокси вместо обычной страницы с ошибкой подключения браузера)
- сканировать загруженный контент на наличие вредоносных программ (представьте, если мы прекратили сканирование загрузок только потому, что они были перемещены в https)
- применять контроль уровня доступа URL к сайтам https (например, блокировать Facebook, за исключением страницы компании)
- предотвратить загрузку (например, защиту от утечки данных) на сайты https
- содержимое кэша для снижения требований к пропускной способности восходящего канала
которые являются общими и, возможно, разумными усилиями в бизнесе, возникает необходимость взломать шифрование https. Это часто называют Человеком в середине (MitM) "атака". Несмотря на то, что термин "атака" является уничижительным, могут быть веские причины для этого.
Чтобы прокси мог изменять содержимое (например, отправлять страницы блоков), он должен быть участником криптозащиты, для этого требуется, чтобы у него был личный ключ и сертификат, который используется в соединении на стороне клиента. Чтобы минимизировать проблемы развертывания, это делается с помощью сертификата подписавшего, который добавляется в доверенные хранилища клиентов и используется для подписи вновь созданных сертификатов для каждого сайта, к которому подключаются клиенты (как правило, которые копируют атрибуты из фактического сертификата сервера в пройти проверку клиента). Таким образом, клиентам нужно доверять только 1 сертификату (тот, который использовался для подписи поддельных сертификатов).
MitM (часто называемый проверкой SSL) ломает такие вещи, как:
- Сертификаты расширенной проверки (так как они не могут быть подделаны)
- Клиентские сертификаты (сайты, использующие их, не будут работать)
- Cert пиннинг. Если сайт использует закрепление сертификата, клиент отклонит поддельный сертификат.
- Обновления Windows и iTunes
По этим причинам прокси с такой возможностью (например, Squid, WinGate) должны иметь функцию списка исключений, позволяющую не перехватывать определенные сайты.
Возможно, вы сможете убедить своего администратора добавить нужные вам сайты в этот список.
Отказ от ответственности: я работаю на Qbik, которые являются авторами WinGate.
