工作原因必须连接公司 wifi，要求安装根证书

第一个，公司的一些工作比如 oa, 订餐，流程处理需要连接公司 wifi，当第一次接入时提示安装根证书。无法拒绝
第二个，公司为方便员工出差联网，为手机提供了 v pn,安装的 app 是企业应用，不在 appstore 下载，而是提供信任的描述文件。

手机为 iphone12 未越狱，想请教大牛：

1 第一个植入的根证书，是不是只有在连接公司 wifi 时才有可能解密手机流量？不联网使用 sim 卡 5g 就没有问题吧？根证书不能实时监控其他操作吧？比如手机截图？
2 v pn 只要不起用连接，也无法监控手机流量吧？

jinhan13789991

2021-08-02 09:46:40 +08:00

买个备用机放公司用

Xushet

2021-08-02 09:49:43 +08:00

这不简单搞个备用机不就得了

thtznet

2021-08-02 10:38:04 +08:00

你们公司都要求证书签名了，安全性要求这么高了，怎么会允许企业数据跑在个人手机上？这不是 2 相矛盾么？

xuboying

2021-08-02 10:47:59 +08:00

做全套的公司一般能提供 phone 和 sim

tankren

2021-08-02 10:55:58 +08:00

这种公司不是一般配手机？

FS1P7dJz

2021-08-02 11:03:27 +08:00

两套手机咯

我连工作手机的 apple id 都不是一个

gps949

2021-08-02 12:15:28 +08:00

其实根本不用考虑那么复杂。只问自己两个问题就行：
1 、自己公司规模大不大，是几十几百人的小公司，还是成千上万人的大公司。
2 、大多数同事是按公司要求连 wifi 、vpn 了，还是不连想别的办法进行工作。

问这些的目的其实就一个，不管技术手段能不能监控操纵，总归还是需要投入人去做的，如果是上万人的公司且大多数同事都这么连这么用的，那他想全部实时监控投入的成本就过高而不会搞了（不过不排除要是有矛盾了会查库翻旧账）。
如果是个几十几百人的巴掌大点的公司还这么搞，除非你们做的工作就是涉及国家秘密的，否则就别折腾了

Lemeng

2021-08-02 12:21:08 +08:00

要求公司提供手机，哪有自己手机弄这些的，实在不行，我会安在备用机上

Hardrain

2021-08-02 15:48:47 +08:00

安装了根证书后,任何拥有这个证书对应的私钥者都可以监听你的 TLS 通讯.
除非客户端的应用有某些反制机制, 如 HPKP 或 App 自行实现的公钥固定.

解决:要求公司提供工作专用手机

mahone3297

2021-08-02 16:41:53 +08:00

证书有这么大权限？这个从技术上是如何理解的？不是应该安装 app 风险更大？向大家请教。

whasyt

2021-08-02 20:38:14 +08:00

@pupboss #25 求教这个怎么看？

pupboss

2021-08-02 21:09:19 +08:00

@whasyt 在关于本机里面的证书

Tumblr

2021-08-03 00:43:19 +08:00

@pupboss #52 说错了吧？应该是在设置 -> 通用 -> 配置文件和设备管理里面，关于本机里只是信任。

efaun

2021-08-03 03:57:46 +08:00

@justrand #36 公司 wifi 都需要账号登录，换马甲没用

shutongxinq

2021-08-03 06:08:07 +08:00

公司想在公司的手机上怎么折腾你就不要管了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/792969

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.