Как Android управляет корневыми центрами Wi-Fi? Должны ли они быть проблемой безопасности?

Мой университет требует, чтобы я установил собственный корневой ЦС для подключения к их Wi-Fi сети. Когда я установил его на свой телефон, он позволяет мне указать «Wi-Fi» или «VPN и приложения». Я выбрал Wi-Fi и смог успешно подключиться.

Однако меня беспокоит безопасность этого сертификата. Я не знаю, кто несет ответственность за это в моем университете, и является ли это группой добровольцев, которые не знают, что они делают.

Когда я выбрал опцию «Wi-Fi», означает ли это, что CA будет использоваться только для аутентификации с помощью сети Wi-Fi, а не для чего-либо еще? Итак, если секретный ключ просочился, и кто-то пытается сделать сайт фишинга с использованием HTTP для целевых пользователей, установил бы Chrome /любой браузер, который я установил, сертификат HTTP для сайта, подписанного CA, установленным для Wi-Fi?

Я на Android 7.1.1

8 голосов | спросил Alejandro Ramallo 16 FebruaryEurope/MoscowbThu, 16 Feb 2017 19:39:58 +0300000000pmThu, 16 Feb 2017 19:39:58 +030017 2017, 19:39:58

2 ответа


1

Центр сертификации подписывает цифровые сертификаты. Часто компании будут платить международно доверенные CA, такие как VeriSign или DigiCert, чтобы подписывать сертификаты в своем собственном домене.

В некоторых случаях может возникнуть больше смысла действовать как ваш собственный центр сертификации, а не оплачивать CA, например DigiCert. Ваш университет делает именно это, то есть используя собственный центр сертификации.

Первое, что нужно понять, это то, что корневой ЦС, который вы установили, не является закрытым ключом, а открытым ключом. Взгляните на свои сертификаты в браузере, который вы используете, и посмотрите вкладку «Власть», вы увидите целую кучу корневого центра сертификации, такого как VeriSign.

Так что скажем, ваш университет имеет информационную веб-страницу university.edu. Если вы не установили корневой ЦС на свое устройство, если вы хотите перейти на веб-страницу, вы увидите сообщение об ошибке, предупреждающее вас о том, что сайту не доверяют. После установки корневого ЦС сайт будет отображаться как защищенный, так как он проверяет, что он действителен с использованием открытого ключа на вашем устройстве. Веб-сервер unversity.edu будет иметь закрытый ключ, который будет соответствовать вашему открытому ключу. Поэтому, когда вы получаете доступ к веб-странице, он проверяет, что это действительный сайт.

В сущности, наличие корневого ЦС не является проблемой. Единственный ключ, который потенциально может вызвать серьезные проблемы, если компромиссы - это закрытый ключ CA CA. Обычно CA создаются с корневым СА, а затем промежуточным центром сертификации. Корневой ключ хранится в автономном режиме, так что он не может быть скомпрометирован. Таким образом, если закрытый ключ, используемый для подписи запросов сертификата на промежуточном ЦС, скомпрометирован, новый закрытый ключ будет сгенерирован с использованием корневого частного ключа. Это потребует повторной выдачи ключей всем проверенным серверам, но защитит среду.

Надеюсь, это поможет.

Взгляните на эту документацию, чтобы настроить центр сертификации для более подробного понимания того, как работает центр сертификации.

https://jamielinux.com/docs/openssl-certificate-authority /introduction.html

ответил Tim R 15 FebruaryEurope/MoscowbThu, 15 Feb 2018 20:52:00 +0300000000pmThu, 15 Feb 2018 20:52:00 +030018 2018, 20:52:00
0

Я считаю, что другой ответ здесь очень вводит в заблуждение.

Установка корневого СА - ОГРОМНЫЙ риск. Это означает, что почти весь ваш сетевой трафик может быть перехвачен (что может привести к большим проблемам).

Но, Я не уверен, что это так. Я думаю, что вы не установили доверенный корневой ЦС, а вместо этого просто CA «Аутентификация сервера», чтобы ваш клиент (ваш телефон) смог проверить сервер RADIUS, который используется для аутентификации ваших учетных данных в WPA2-Enterprise Wi- Fi.

Это довольно распространено в университетах.

Это означает, что ваш университет не может подписывать какой-либо сертификат для какого-либо домена, кроме указанного сервера.

Хотя это не точно. Если вы можете обновить свой вопрос с помощью нескольких снимков экрана, которые вы получили, я могу сказать с уверенностью.

ответил 0xAsker 15 FebruaryEurope/MoscowbThu, 15 Feb 2018 21:33:29 +0300000000pmThu, 15 Feb 2018 21:33:29 +030018 2018, 21:33:29

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132