Недавно я читал о возможностях проверки TMG HTTPS.
http://technet.microsoft.com/en-us/library/ee658156.aspx
Теория, лежащая в основе вариантов использования, звучит хорошо (вы хотите предотвратить загрузку вредоносного ПО с сайтов HTTPS)
Но по сути TMG действует по принципу «Человек посередине».
В зависимости от того, как настроен ваш рабочий домен, все это может происходить без уведомления пользователя о том, что его HTTPS-трафик проверяется. Вот вам и конфиденциальность.
Все, что нужно сделать рабочему домену, — это применить групповую политику с доверенными корневыми сертификатами для самоподписанных сертификатов TMG.
Браузер сообщает, что HTTPS недействителен?
решение1
Технически нет, сертификаты будут доверенными, и вы не будете знать ничего. Обратите внимание, что TMG, хотя и иллюстративный, здесь является отвлекающим маневром; доменные машины могут иметь установленные доменные сертификаты по другим причинам.
Вам придется доверять любому установленному поставщику сертификатов, чтобы он выдавал только действительные сертификаты для доменного имени; ваш ИТ-отдел теоретически может перехватить любой HTTPS-трафик и сгенерировать для него сертификат, а затем атаковать вас по принципу MITM, и вы будете доверять сертификату, поскольку ваше внутреннее имя является доверенным поставщиком.
Тем не менее, вам понадобится чертовски крутой IT-отдел, чтобы это провернуть. Учитывая, сколько IT-отделов едва справляются с банальностью, я бы не стал слишком беспокоиться об этом. Вы можете обнаружить такую уловку, проверив информацию о сертификате обычным способом из адресной строки; издателем сертификата будет ваш внутренний домен.