Недавно я читал о возможностях проверки TMT HTTPS

http://technet.microsoft.com/en-us/library/ee658156.aspx

Теория сценариев использования прекрасно звучит (вы хотите предотвратить загрузку вредоносного ПО с сайтов HTTPS)

Но в основном TMG действует как атака "Человек посередине".

В зависимости от того, как настроен ваш рабочий домен, все это может произойти, даже если пользователю не сообщают, что его HTTPS-трафик проверяется. Так много для приватности.

Все, что нужно сделать рабочей области, - это обеспечить применение групповой политики с доверенными корневыми сертификатами для самозаверяющих сертификатов TMG.

Браузер сообщает, что HTTPS недействителен?

|источник

1 ответ1

3

Технически нет, сертификатам будут доверять, и вы не будете мудрее. Обратите внимание, что TMG, хотя и показательно, здесь красная сельдь; доменные машины могут иметь доменные сертификаты, установленные по другим причинам.

Вы должны доверять любому установленному поставщику сертификатов, чтобы выдавать только действительные сертификаты для доменного имени; Ваш ИТ-отдел теоретически может перехватить любой HTTPS-трафик и сгенерировать для него сертификат и MITM, и вы будете доверять этому сертификату, потому что ваше внутреннее имя является доверенным поставщиком.

Тем не менее, вам понадобится адский отдел ИТ, чтобы справиться с этим. Учитывая, как много ИТ-отделов едва справляются с баналом, я бы не стал сильно беспокоиться об этом. Вы можете обнаружить такую уловку, проверив информацию о сертификате обычным способом из адресной строки; эмитент сертификата будет вашим внутренним доменом.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .