저는 최근 TMG HTTPS 검사 기능에 대해 읽었습니다.
http://technet.microsoft.com/en-us/library/ee658156.aspx
사용 사례의 배경 이론은 괜찮아 보입니다(HTTPS 사이트에서 악성 코드가 다운로드되는 것을 막고 싶습니다).
그러나 기본적으로 TMG는 "중간자" 공격 역할을 합니다.
업무 도메인 설정 방법에 따라 사용자에게 HTTPS 트래픽이 검사되고 있다는 사실을 알리지 않고도 이 모든 일이 발생할 수 있습니다. 프라이버시를 위해 너무 많은 것.
작업 도메인에서 해야 할 일은 자체 서명된 TMG 인증서에 대해 신뢰할 수 있는 루트 인증서를 사용하여 그룹 정책을 시행하는 것뿐입니다.
브라우저에서 HTTPS가 유효하지 않다고 보고합니까?
답변1
기술적으로는 아닙니다. 인증서는 신뢰할 수 있으며 귀하는 더 현명하지 못할 것입니다. 여기서 TMG는 예시적인 것이지만 여기서는 붉은 청어입니다. 도메인 컴퓨터에는 다른 이유로 도메인 인증서가 설치되어 있을 수 있습니다.
도메인 이름에 대해 유효한 인증서만 발급하려면 설치된 인증서 공급자를 신뢰해야 합니다. IT 부서는 이론적으로 모든 HTTPS 트래픽을 가로채서 해당 트래픽과 MITM에 대한 인증서를 생성할 수 있으며, 내부 이름이 신뢰할 수 있는 공급자이기 때문에 인증서를 신뢰할 수 있습니다.
즉, 이를 해결하려면 엄청난 IT 부서가 있어야 합니다. 얼마나 많은 IT 부서가 진부한 일을 간신히 관리할 수 있는지를 생각하면 별로 걱정하지 않을 것입니다. 주소 표시줄에서 일반적인 방법으로 인증서 정보를 확인하여 그러한 속임수를 발견할 수 있습니다. 인증서 발급자는 내부 도메인이 됩니다.