O que seu empregador está fazendo é comum, e usar um certificado autoassinado para isso é, na verdade, a única maneira, já que nenhuma autoridade de certificação emitirá um certificado para uma organização que você possa usar para assinar outras certificações. própria CA - por exemplo, serviços AD CA - você pode ter um certificado emitido para isso, mas ainda assim derivaria do certificado raiz da organização que será auto-assinado).
Fundamentalmente, para fazer coisas como
- bloqueia sites https sem uma experiência de usuário ruim (o navegador exibe uma página de bloqueio de proxy em vez de uma página com falha de conexão de navegador genérica)
- verificar o conteúdo baixado em busca de malware (imagine se desistirmos de fazer o download de downloads só porque eles foram movidos para https)
- aplica o controle de acesso no nível do URL a sites https (por exemplo, bloquear o facebook exceto a página da empresa)
- impedir envios (por exemplo, proteção contra vazamento de dados) para sites https
- conteúdo de cache para reduzir os requisitos de largura de banda de envio
que são esforços comuns e indiscutivelmente razoáveis em um negócio, torna-se necessário entrar na criptografia de https. Isso é muitas vezes chamado de um homem no meio (MitM) "ataque". Mesmo que o termo "ataque" seja pejorativo, pode haver razões razoavelmente válidas para fazê-lo.
Para que o proxy consiga modificar o conteúdo (por exemplo, enviar páginas de bloqueio), ele precisa ser parte do criptografado, isso exige que ele tenha uma chave privada e um certificado usado na conexão do lado do cliente . Para minimizar os problemas de implementação, isso é feito com um certificado de assinante, que é incluído nos armazenamentos de confiança do cliente e usado para assinar certificados recém-gerados para cada site ao qual os clientes se conectam (normalmente, copiar os atributos do certificado de servidor real para passar a validação do cliente). Desta forma, os clientes só precisam confiar em 1 cert (aquele usado para assinar os certificados falsificados).
O MitM (geralmente chamado de inspeção SSL) quebra coisas como:
- Certs de validação estendida (já que eles não podem ser falsificados)
- Certificados de clientes (sites que usam isso não funcionam)
- Certificação de pinagem. Se um site usar a fixação de certificados, o cliente rejeitará o certificado falsificado.
- Atualizações do Windows e iTunes
Por essas razões, proxies com essa capacidade (por exemplo, Squid , WinGate ) precisa ter um recurso de lista de exclusões que permita que certos sites não sejam interceptados.
Você pode convencer seu administrador a adicionar os sites necessários a essa lista.
Disclaimer: Eu trabalho para Qbik, que são os autores do WinGate.