Ich habe mich kürzlich über die Möglichkeiten der TMG HTTPS-Inspektion informiert
http://technet.microsoft.com/en-us/library/ee658156.aspx
Die Theorie hinter den Anwendungsfällen klingt gut (Sie möchten verhindern, dass Malware von HTTPS-Sites heruntergeladen wird).
Aber grundsätzlich agiert TMG als „Man in the Middle“-Angriff.
Je nachdem, wie Ihre Arbeitsdomäne eingerichtet ist, kann dies alles passieren, ohne dass der Benutzer überhaupt darüber informiert wird, dass sein HTTPS-Verkehr überprüft wird. So viel zum Thema Datenschutz.
Die Arbeitsdomäne muss lediglich eine Gruppenrichtlinie mit einem vertrauenswürdigen Stammzertifikat für die selbstsignierten TMG-Zertifikate erzwingen.
Meldet der Browser, dass HTTPS nicht gültig ist?
Antwort1
Technisch gesehen nein, die Zertifikate werden als vertrauenswürdig eingestuft und Sie werden nichts merken. Beachten Sie, dass TMG hier zwar illustrativ ist, aber eine falsche Fährte darstellt; Domänencomputer können Domänenzertifikate aus anderen Gründen installiert haben.
Sie müssen darauf vertrauen, dass jeder installierte Zertifikatsanbieter nur gültige Zertifikate für einen Domänennamen ausstellt. Ihre IT-Abteilung könnte theoretisch jeden HTTPS-Verkehr abfangen, ein Zertifikat dafür generieren und Sie per MITM kontaktieren, und Sie würden dem Zertifikat vertrauen, weil Ihr interner Name ein vertrauenswürdiger Anbieter ist.
Allerdings müsste man eine verdammt gute IT-Abteilung haben, um das durchzuziehen. Angesichts der Tatsache, dass viele IT-Abteilungen mit banalen Dingen kaum zurechtkommen, würde ich mir darüber keine allzu großen Sorgen machen. Sie könnten solche Täuschungsmanöver entdecken, indem Sie die Zertifikatsinformationen auf die übliche Weise in der Adressleiste überprüfen; der Zertifikatsaussteller wird Ihre interne Domäne sein.