Zscaler中级证书

Question

我们公司最近实施了Zscaler代理过滤，我刚刚了解到它使用向我们所有机器推送的根证书来伪造SSL证书，用于mitm对我们的通信量进行过滤。就我个人而言，我对此并不满意，但我们做了很多敏感的工作，所以我不会抱怨。

但现在我注意到他们似乎并没有始终如一地这么做。例如，如果我在工作网络上访问Facebook，证书将由ZScaler中间根CA签名，这显然意味着它已被泄露。但如果我去，比如说，我的银行，上面写着它是由维里森签署的。我是否正确地认为，这意味着银行连接没有被截获，而且仍然是端到端加密？

Answer 1

Zscaler允许管理员配置哪些站点/域/类别将被解密或不会解密以供检查。听起来你的管理员已经禁用了金融类别中的SSL解密站点，因此你的银行的流量没有被解密，而流向Facebook的流量被解密了。

至于确定哪些通信是解密的和没有解密的，您完全正确--检查SSL证书，如果它是由Zscaler证书签名的，那么流量就是中间人。如果它是由任何其他证书(包括Verisign/etc)签署的，那么它不是MITM‘’ed的。