我最近一直在阅读有关 TMG HTTPS 检查功能的信息
http://technet.microsoft.com/en-us/library/ee658156.aspx
用例背后的理论听起来不错(你想阻止从 HTTPS 网站下载恶意软件)
但从根本上来说,TMG 充当的是“中间人”攻击。
根据您的工作域的设置方式,这一切都可能发生,甚至无需告知用户他们的 HTTPS 流量正在接受检查。隐私就这样没了。
工作域需要做的就是对自签名 TMG 证书使用受信任的根证书执行组策略。
浏览器是否报告 HTTPS 无效?
答案1
从技术上讲,不会,证书将被信任,而您不会知道。请注意,TMG 虽然是说明性的,但在这里只是一个转移注意力的幌子;域计算机可以出于其他原因安装域证书。
您必须信任任何已安装的证书提供商仅为域名颁发有效证书;您的 IT 部门理论上可以拦截任何 HTTPS 流量并为其生成证书并对您进行 MITM,并且您会信任该证书,因为您的内部名称是受信任的提供商。
话虽如此,但你必须有一个非常出色的 IT 部门才能做到这一点。考虑到有多少 IT 部门都难以应付这种平庸之举,我不会太担心。您可以通过从地址栏以常规方式检查证书信息来发现这种诡计;证书颁发者将是您的内部域。