由于 Gmail 使用 https,所以所有邮件都应该加密?
这里我们假设我的公司没有按键记录器或随机快照软件。
答案1
如果你使用 Firefox,你可能需要看看https://addons.mozilla.org/de/firefox/addon/perspectives/,这是一个非常易于使用的插件,用于检测原本无法检测到的中间人攻击。这种方法可能比总是手动将证书与您从可靠来源(例如在家)收集的指纹列表进行核对更实用。
请注意,即使您的浏览器的受信任根证书列表中没有贵公司的特殊证书,并且系统没有受到其他威胁,也可能存在中间人攻击。如何实现?至少有一家 CA(Trustwave)过去曾因向某公司颁发中间证书用于可疑目的而变得不可信。请参阅http://www.h-online.com/security/news/item/Trustwave-issued-a-man-in-the-middle-certificate-1429982.html- 还发生过成功入侵 CA(例如 DigiNotar、Comodo)的情况,导致出现更多伪造证书。
因此,浏览器中当前的信任概念已严重失效,因为默认情况下信任的 CA 太多,而一个不可信的 CA 会破坏整个系统。事实证明,不可信的 CA 不止一个,而且没有人能预测下一个不可信的 CA 是哪一个。Perspectives 是一种有趣的方法,可以规避使用伪造证书的 MitM 问题,同时使 CA 昂贵的证书变得多余。
答案2
他们不需要伪造证书,只需要修改过的(可能使用插件)浏览器副本,并带有数据包捕获逻辑。指纹检查不会起任何作用。
它是一台工作机器。不要将任何你不想让雇主知道的数据加载到它上面。
在某些浏览器上,捕获加密数据包可能就像更改“不缓存 HTTPS 页面”配置选项并从缓存中抓取页面一样简单。
被删除的答案尤其相关,特别是在 IE 中指出的“不将加密的页面保存到磁盘”默认情况下是禁用的。
答案3
使用 Linux(或 Windows 下的 Cygwin),您可以执行以下操作来查看证书(包括证书链):。echo | openssl s_client -connect HOST:443只需将 HOST 更改为mail.google.com或任何其他 HTTPS 网站。服务器证书本身也会输出在base64表格,然后您可以将其与从公司外部获得的相同证书进行比较。如果它们完全匹配,则没问题。如果它们不同,请检查证书链证书颁发机构看起来是假的。这并不一定意味着你正在中间人'ed,但这是可能的。
请记住,对于像 Google 这样的大公司,您从公司内部获得的服务器证书可能来自与您从公司外部访问的服务器在地理上遥远的服务器。因此,它们可能具有不同的证书,但证书链应该只包含有效的证书颁发机构。如果您在链中看到可疑的证书颁发机构,请考虑不要在工作中使用 Gmail。