Het is niet zo heel moeilijk te detecteren Als het certificaat dat je van de website terug krijgt is ondertekend door de corporate CA (degene die in je browser door het bedrijf als extra trusted CA is opgenomen) wordt het verkeer onderschept. Krijg je een door een "echte" public CA ondertekend certificaat terug dan wordt het verkeer in principe niet onderschept. Je zou een firefox extentie als "Certificate Pinner" kunnen gebruiken om dit te detecteren.

Lijkt me niet heel lastig.

Vraag een https site op die je zelf host, en waar je fake BSN nummers, verboden woorden zoals v\agra, en god weet wat voor andere zaken opvraagt die de systeembeheerders/directeur verboden heeft, en dan wacht je op het onvermijdelijke belletje.

Of vraag de klant of ze je een kopietje medewerkers-handboek kunnen geven waar gewoon instaat dat ze aan Deep packet Inspection doen, dan weet je het ook. Doen ze het wel, maar laten ze het de medewerkers niet weten: belletje naar de OR en/of Privacy Officer.

Maar als het een zakelijke laptop is, ga daar dan gewoon zakelijk op werken, en doe je prive dingen op een prive-laptop.

Dit zijn vaak CA voor interne websites welke SSL (HTTPS) certificaten gebruiken uit de interne PK, niets bijzonders.

Dit soort CA's kunnen ook inderdaad gebruikt worden voor SSL inspectie, indien dit gewenst en afgesproken is. Bij grote bedrijven niets vreemds, mist de juiste informatie bij iedereen bekend is.

We gebruiken het hier ook intern en bij klanten, om DLP bijvoorbeeld te doen.

Een mitm installeren is één ding, de logs/data bekijken een tweede, en contact opnemen met de werknemer een derde.

Vrij kansloze suggestie .
Het kan prima zo zijn dat alles gekopieerd wordt, opgeslagen (1 maand ? 6 maanden ? permanent) en pas bekeken als er concrete aanleiding of klachten zijn.

"ik ben niet gebeld" zegt dus niks omtrent "ze loggen niks"


Dat is al een stuk beter idee.

Gebruik dat ding, waarvoor hij bedoelt is, werkzaamheden voor dat bedrijf met hun eigen laptop. Blijf ervanaf met je prive handelingen.

Heb je al aan de mogelijkheid gedacht om aan je werkgever te vragen waar dat voor dient? Ik heb inderdaad wel meegemaakt dat men in HTTPS-verbindingen inbrak. Dat was niet om personeel te bespioneren maar om te helpen voorkomen dat er malware en andere ellende het netwerk binnen werd gehaald. Ik was er niet kapot van omdat het EV-certificaten onderuit haalt. Maar men was volkomen open over wat er gebeurde. Ik denk dat de kans groot is dat het om zo'n toepassing gaat, dat je er gewoon naar kan vragen en dat je er dan gewoon uitleg over krijgt zonder dat men jou gaat wantrouwen.

Wat de EUSSR wil in mini-formaat...
Maar goed... als je klant wil dat je op hun netwerkt hun laptop gebruikt: prima.
Er naast staat mijn eigen laptop met mijn eigen internetverbinding voor alles wat niet door hun netwerk heen hoeft.

Bij die klant makkelijk. Bij de EUSSR lastiger...

Wat heeft dat EUSSR geleuter met de vraag te maken?

Onzin. Bedrijven willen hun eigen interne systemen beschermen tegen de malware/phishing en dergelijke onzin. De enige echt effectieve manier om dat te doen is DPI over HTTPS verbindingen, ook malware staat inmiddels op HTTPS sites hè?
Het grootste risico voor bedrijven zit nog altijd tussen de bureaustoel en de monitor. Dat je je eigen netwerk wilt beschermen omdat je meer vertrouwen in techniek hebt als gebruikers kan ik me best voorstellen.

En om dan allerlei onzinnige eussr kreten er bij te betrekken raakt kant nog wal. Fijn hè, dat leven in argwaan. Als je zo op bang bent dat de hele wereld het op jou gemunt heeft, ook bedrijfsnetwerken, waarom zou je er dan vrijwillig gebruik van maken. Koop lekker een MiFi router en zorg voor je eigen spullen.

Als de klant dit wil, moet de vraag dan niet gewoon zijn, waarom gebruik je het niet zoals de klant dit wil?

(sorry, dubbel)

Zoals Anoniem van 25-03-2024, 16,23, al aangaf: sommige werkgevers doen dit.

Spionage
Persoonlijk vind ik dat ze jou hiervan op de hoogte horen te stellen; het is immers vergelijkbaar met een camera op jouw werkplek richten.

Foute beheerders
Niet alleen omdat beheerders kunnen zien welke sites en welke pagina's je bezoekt, maar ook wachtwoorden kunnen meelezen, en zo jouw internetaccounts kunnen "overnemen". Je zult daar maar als boekhouder werken (al dan niet in vaste dienst) en er zal maar een foute beheerder tussen zitten die jou probeert te laten opdraaien voor geld dat zij of hij wegsluist.

Nb. Passkeys beschermen hier ook niet tegen. De MitM kan welliswaar niet bij de private key, maar wel bij het door de echte server teruggestuurde session cookie of JWT of iets dergelijks.

Buggy
Een ander risico, voor het bedrijf en voor jou, is dat zo'n "SSL Inspectie" (virtueel) apparaat buggy is (aan de internetzijde, het deel dat zich voordoet als jouw browser, e-mailprogramma etc). Te vaak lees ik dat zo'n ding nog "gewoon" TLSv1 (of SSL versies) ondersteunt.

Gehacked
Een nóg groter risico is dat zo'n apparaat door een buitenstaander gehacked wordt. Het zijn vaak doodenge SPOF's (Single Point of Failures). Vooral als de merknaam met Forti begint.

Als je cerificaten kunt bekijken, kun je ook naar de certificaatketen kijken.

Het kan wellicht ook anders, maar met enige moeite.

SSLLabs
Wat je kunt proberen is https://www.ssllabs.com/ openen en op "Test your browser" klikken - en dat ook thuis doen met dezelfde browser; vaak zie je dan al verschillen. De rest gebruikt TCP poort 8443; de kans bestaat dat de MitM (Meekijker in the Middle) die poort geheel blokkeert (of juist doorlaat zonder MitM, maar dat zou wel heel suf zijn.

Zo'n "legitieme" MitM kan zo geconfigueerd zijn dat bijv. sites van bekende banken niet worden geïnspecteerd (daarbij ontvangt jouw browser echt het certificaat van de bank).

crt sh
Of een MitM plaatsvindt en bij welke websites (of juist niet) kun je, indien je certificaten kunt bekijken in de browser op jouw werklaptop, vaststellen door deze te vergelijken met één van de laatst bekende op https://crt.sh/. Omdat zo'n MitM, on the fly, een eigen certificaat bakt voor elke (https) website en bijna alles uit het originele certificaat kan kopiëren, moet je wel weten waar je op moet letten - en dat is de public key (of een hash daarvan).

Voorbeeld: open https://crt.sh/?Identity=security.nl&exclude=expired&deduplicate=Y (vervang "security.nl" door de domeinnaam naar keuze). Als ik die open kan ik op het Cert-ID "8954777036" klikken, dan opent https://crt.sh/?id=8954777036.

Op mijn Android smartphone kan ik alleen met Chrome cerificaten bekijken (*), en bovendien slechts gedeeltelijk; de public key krijg ik niet te zien, maar wel de SHA256 hash daarvan, en die luidt momenteel:

(*) Druk op de 2 lepeltjes (links in de adresbalk), druk daarna op "Connection is secure" en vervolgens op "Certificate information".

In https://crt.sh/?id=8954777036 zie je die hash niet direct staan, maar als je op Subject Public Key Info klikt, luidt de nieuwe URL:
https://crt.sh/?spkisha256=2b840669d8f616661a9544b6a019042ea4e43200df6ad610c58029ff648d1276
Na het is-teken zie je dezelfde SHA256 hash als bovengenoemd.

Houd er rekening mee dat sommige sites een ander certificaat gebruiken voor met en zonder voorvoegsel "www.", zoals https://www.nos.nl/ (zie [1], deze stuurt jouw browser door naar de variant zonder "www.") en https://nos.nl/ (zie [2] en [3]: hier bestaan 2 certs voor).

[1] https://crt.sh/?id=12087214465 (Globalsign DV)
Geldig voor: *.nos.nl, nos.nl

[2] https://crt.sh/?id=9579997022 (Sectigo EV)
Geldig voor: nos.nl, www.nos.nl

[3] https://crt.sh/?id=9852906153 (Amazon DV)
Geldig voor: nos.nl, www.nos.nl en cf.nos.nl

Merk op dat de NOS al sinds 2018, zowel voor [1] als voor [2], per certificaatverstrekker steeds hetzelfde sleutelpaar gebruikt dat zie je door op "Subject Public Key Info" te klikken.

Dit is ook een goed set tooltjes: https://d3ward.github.io/toolz/

Even kijken wat je browser doet. Bijvoorbeeld Units - Toolz (given under Share conditions).

luntrus

En een hamer is ook erg handig als je wilt timmeren. Met alle respect, maar wat hebben die willekeurige tools te maken met waar de TS om vraagt?

Zoek goed uit hoe tools werken, welke problemen je ermee ondervindt, of de auteur betrouwbaar is, of er een NL vertaling van bestaat etc. en begin er dan zelf een topic over. Zo verstoor je toch alleen maar topics van anderen met irrelevante info?