我在一家企业工作。我想知道当我访问支持https协议的网站时,任何访问企业网络的人(例如网络所有者)是否可以捕获我在这些网站(例如password、credential identity和 等)上发送和接收的流量?例如,如果我查看我的ymail或gmail我的messengers(例如Telegram、WhatsApp),他/她是否可以访问我的密码、邮件和消息?
答案1
与大多数事情一样,这取决于……
在企业环境中,您的连接可能会使用某种安全设备。当您的 https 连接经过该设备时,该设备完全有可能充当中间人。
在这种情况下,设备将在客户端计算机上显示一个(有效的)证书,同时它实际上解密来自服务的数据,进行检查,然后为实际端点重新加密,反之亦然。
如果存在该配置,则控制该设备的人都可以访问通过它路由的任何未加密数据。如果设备证书存储在端点的证书存储中,最终用户如果不进行进一步调查,甚至可能不会注意到这种情况正在发生。
答案2
HTTPS (TLS) 无法隐藏您连接的 IP 地址,甚至无法隐藏您在这些 IP 地址上连接的 Web 服务器的域名。因此,任何在您的网络连接上运行嗅探器的人都可以看到您正在访问的网站,除非您正在运行 VPN 或 Tor 之类的东西。
在一些非常保密的公司环境中,公司在设置公司 PC、笔记本电脑、平板电脑或智能手机以访问公司网络时,会在其上安装公司控制的证书,并让设备像信任任何其他根 CA 证书一样信任该公司证书。这样,公司就可以对这些设备通过公司网络发送/接收的所有 HTTPS 流量进行某种“中间人攻击”,这样他们就可以看到 HTTPS 流量的实际内容,而不仅仅是服务器名称和 IP 地址。