Door Anoniem: Een van de klanten die ik heb wil dat ik een laptop van hen gebruik.
Echter was een van de eerste zaken die mij direct op viel dat ze een verplichte firefox installatie doen met eigen CA waardoor in feite een man-in-the-middle attack mogelijk is, en het decrypten van alle SSL verbindingen mogelijk wordt.
Zoals Anoniem van 25-03-2024, 16,23, al aangaf: sommige werkgevers doen dit.
SpionagePersoonlijk vind ik dat ze jou hiervan op de hoogte horen te stellen; het is immers vergelijkbaar met een camera op jouw werkplek richten.
Foute beheerdersNiet alleen omdat beheerders kunnen zien welke sites en welke pagina's je bezoekt, maar ook wachtwoorden kunnen meelezen, en zo jouw internetaccounts kunnen "overnemen". Je zult daar maar als boekhouder werken (al dan niet in vaste dienst) en er zal maar een foute beheerder tussen zitten die jou probeert te laten opdraaien voor geld dat zij of hij wegsluist.
Nb. Passkeys beschermen hier ook niet tegen. De MitM kan welliswaar niet bij de private key, maar wel bij het door de echte server teruggestuurde session cookie of JWT of iets dergelijks.
BuggyEen ander risico, voor het bedrijf en voor jou, is dat zo'n "SSL Inspectie" (virtueel) apparaat buggy is (aan de internetzijde, het deel dat zich voordoet als jouw browser, e-mailprogramma etc). Te vaak lees ik dat zo'n ding nog "gewoon" TLSv1 (of SSL versies) ondersteunt.
GehackedEen nóg groter risico is dat zo'n apparaat door een buitenstaander gehacked wordt. Het zijn vaak doodenge SPOF's (Single Point of Failures). Vooral als de merknaam met Forti begint.
Door Anoniem: [...] ik vraag me af of het mogelijk is deze decrypt-re-encrypt te detecteren...
Als je cerificaten kunt bekijken, kun je ook naar de certificaat
keten kijken.
Het kan wellicht ook anders, maar met enige moeite.
SSLLabsWat je kunt proberen is
https://www.ssllabs.com/ openen en op "Test your browser" klikken - en dat ook thuis doen met dezelfde browser; vaak zie je dan al verschillen. De rest gebruikt TCP poort 8443; de kans bestaat dat de MitM (Meekijker in the Middle) die poort geheel blokkeert (of juist doorlaat zonder MitM, maar dat zou wel heel suf zijn.
Zo'n "legitieme" MitM kan zo geconfigueerd zijn dat bijv. sites van bekende banken
niet worden geïnspecteerd (daarbij ontvangt jouw browser echt het certificaat van de bank).
crt shOf een MitM plaatsvindt en bij welke websites (of juist niet) kun je,
indien je certificaten kunt bekijken in de browser op jouw werklaptop, vaststellen door deze te vergelijken met één van de laatst bekende op
https://crt.sh/. Omdat zo'n MitM, on the fly, een eigen certificaat bakt voor elke (https) website en bijna alles uit het originele certificaat kan kopiëren, moet je wel weten waar je op moet letten - en dat is de public key (of een hash daarvan).
Voorbeeld: open
https://crt.sh/?Identity=security.nl&exclude=expired&deduplicate=Y (vervang "security.nl" door de domeinnaam naar keuze). Als ik die open kan ik op het Cert-ID "
8954777036" klikken, dan opent
https://crt.sh/?id=8954777036.
Op mijn Android smartphone kan ik alleen met Chrome cerificaten bekijken (*), en bovendien slechts gedeeltelijk; de public key krijg ik niet te zien, maar wel de SHA256 hash daarvan, en die luidt momenteel:
2B 84 06 69 D8 F6 16 66 1A 95 44 B6 A0
19 04 2E A4 E4 32 00 DF 6A D6 10 C5 80
29 FF 64 8D 12 76
(*) Druk op de 2 lepeltjes (links in de adresbalk), druk daarna op "Connection is secure" en vervolgens op "Certificate information".
In
https://crt.sh/?id=8954777036 zie je die hash niet direct staan, maar als je op
Subject Public Key Info klikt, luidt de nieuwe URL:
https://crt.sh/?spkisha256=2b840669d8f616661a9544b6a019042ea4e43200df6ad610c58029ff648d1276Na het is-teken zie je dezelfde SHA256 hash als bovengenoemd.
Houd er rekening mee dat sommige sites een ander certificaat gebruiken voor met en zonder voorvoegsel "
www.", zoals
https://www.nos.nl/ (zie [1], deze stuurt jouw browser door naar de variant zonder "www.") en
https://nos.nl/ (zie [2] en [3]: hier bestaan 2 certs voor).
[1]
https://crt.sh/?id=12087214465 (Globalsign DV)
Geldig voor:
*.nos.nl,
nos.nl[2]
https://crt.sh/?id=9579997022 (Sectigo EV)
Geldig voor:
nos.nl,
www.nos.nl[3]
https://crt.sh/?id=9852906153 (Amazon DV)
Geldig voor:
nos.nl,
www.nos.nl en
cf.nos.nlMerk op dat de NOS al sinds 2018, zowel voor [1] als voor [2], per certificaatverstrekker steeds hetzelfde sleutelpaar gebruikt dat zie je door op "
Subject Public Key Info" te klikken.