SSLの中間者攻撃は、特に企業環境では、思ったよりもはるかに一般的であることに気付きました。透過的なSSLプロキシサーバーを設置しているいくつかの企業について聞いたことがあります。すべてのクライアントは、このプロキシの証明書を信頼するように構成されています。これは基本的に、雇用主は理論的には、SSLで暗号化されたトラフィックでさえ、ブラウザに警告が表示されることなく傍受できることを意味します。前述のように、クライアントには信頼できる証明書が付属しています。これは、使用されている証明書を手動で検証することによってのみ明らかにできます。
私には、雇用主が彼の優れた地位を利用して従業員のSSLトラフィックをスパイしているように見えます。私にとって、これはSSLの概念全体を信頼できないものにします。私はmitmproxyを使用して同様のセットアップを自分でテストし、クライアントと電子バンキングサーバー間の通信を読み取ることができました。これは、誰にも明かされるべきではない情報です。
したがって、私の質問はかなり単純です:サーバー側で信頼チェーンを検証するにはどうすればよいですか?クライアントがサーバーの証明書と1つの信頼チェーンのみを使用するようにします。これは、ApacheのSSL構成で実現できるのでしょうか?これは、多くのアプリケーションに簡単に適用できるため便利です。これが不可能な場合、誰かがPHPでこれを行う方法を知っていますか?または、他に提案はありますか?
1
雇用主が従業員のトラフィックを見ても問題ありません。雇用主のリソース(PC、ネットワーク接続など)を使用していますが、これらはあなたのものではありません。そして、あなたがあなたの銀行口座に送信するデータを事業者が見ることができるのではないかと心配するなら、職場ではなく自宅でやりましょう。また、企業のセキュリティポリシーに違反する試みは、あなたに対する裁判所の対象となる場合があります。
—
-Crypt32
多くの欧州企業では、オフィス機器の私的使用は雇用契約で規制されています。私が働いている会社では、個人的にサーフィンをするかもしれませんが、それは問題ではありません。ポルノ、ファイル共有などの例外があります。同時に、企業が従業員をスパイすることを禁止する法律があります。したがって、私や他の多くの人にとって、多くの企業でプライベートサーフィンが許可されている間、雇用主が従業員のトラフィックを傍受することは明らかに禁じられているため、これは問題ではありません。
—
エルロン79
ほとんどの(私の経験では)米国政府が所有するワークステーションには、ログインごとに次の2つの通知が含まれます。「このISを使用した通信、またはこのISに保存されたデータは非公開であり、定期的な監視、傍受、検索の対象となり、開示または使用される可能性がありますこのISには、USGの利益を保護するためのセキュリティ対策(認証やアクセス制御など)が含まれています。個人の利益やプライバシーのためではありません。」これらのシステムの使用は、多くの場合、同じことを規定する署名済みの契約によってカバーされます。重要な点は、システムの所有者があなたから身を守ることです。
—
ランドール
これは、米国とヨーロッパの多くの違いの1つです。上記の@Randallという用語は、ほとんどのヨーロッパ諸国では違法です。
—
エルロン79
私が引用した用語は不完全であり、他の用語は明示的に監視されないアクティビティをリストしています。欧州の雇用主がそのような前提条件をコンピューターの使用条件にすることはできないという言及はありません(私はヨーロッパで事業を行っており、そのような監視プロセスをセットアップしていますが、ビジネスをしていない部門で働いていますがヨーロッパ)、ただし、明示的かつ透明である限り、そのような用語は違法ではないことを示唆する参照を見つけることができます。
—
ランドール