问题

公司连入网络需要安装证书，进行 802.1X 的账户密码鉴定，mac 绑定 ip 地址。证书现在只信任 EAP 协议以及 X.509 基本策略。这种情况下，HTTPS 会被审计吗？网管可以通过这 2 个协议进行中间人攻击来监听信息吗？

copriwolf

2017-12-27 13:48:47 +08:00

@avrillavigne 因为要验证上网啊，只是考虑附带的风险

copriwolf

2017-12-27 13:55:45 +08:00

@dndx 明白，感谢了。还有一个问题是，如果走 shadowsock，有可能会被嗅探到吗？ shadowsock 使用 aes256 来加密的

julyclyde

2017-12-27 16:45:41 +08:00

你这个只能叫自签名证书
不能叫根证书
虽然安装以后是装在根证书区里的

TigerK

2017-12-27 20:07:31 +08:00

你可以只给一个浏览器安装证书啊，比如说 Firefox，可以创建好几个用户配置呢

yingfengi

2017-12-27 20:14:09 +08:00

明显是做 https 审计了
这种策略我上过，某公司弄了。
设备签发一个证书的，你信任了设备的根证书。

ouqihang

2017-12-27 20:52:33 +08:00

要看公司是怎么规定的，有些证书真的只是鉴权用。

leots

2017-12-27 21:03:28 +08:00

我们学校也是通过这种方式认证上网的...
后来发现其实只是用来认证上网......

copriwolf

2017-12-27 21:48:46 +08:00

@TigerK 不行的，mac 上面是要系统级信任证书才能进行 802.1x 认证登陆

copriwolf

2017-12-27 21:49:26 +08:00

@yingfengi 是的，但是这个证书我不信任 SSL，有没可能被审查？

copriwolf

2017-12-27 21:50:24 +08:00

@terence4444 mac 上面是要系统级信任证书才能进行 802.1x 认证登陆。主要是要认证了才能上网。

copriwolf

2017-12-27 21:51:12 +08:00

@julyclyde 是的，表述有误，感谢指正

copriwolf

2017-12-27 21:51:37 +08:00

@ouqihang 问题就是，无法论证到到底是审计还是单纯鉴权。

lshero

2017-12-27 22:27:25 +08:00

打开浏览器看看当前站点用的证书不就搞定了嘛

zscself

2017-12-27 23:34:47 +08:00

就是公司图省钱不愿意买证书，自己整了个根证书呗~
我认为哈，既然勾选了“ SSL 不信任”，是不是就意味着在 SSL 握手过程中，系统会把这个根证书标记为不信任，所以应该是无法进行审计的。

yingfengi

2017-12-28 08:27:13 +08:00

@copriwolf ssl 审计是这样子的
当你访问某个 https 的站点的时候，设备先进行 ssl 卸载，然后针对该域名签发一个证书，然后 https 的方式把网页发给你。
这样子的话，你不信任设备的根证书，https 压根没法访问。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/417909

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

公司只要求连入网络安装根证书，会被监控 https 吗

问题