Questo certificato è valido
No, viene generato al volo da DNSFilter o da un utente malintenzionato che finge di essere DNSFilter eseguire un attacco MITM.
Perché questo certificato viene presentato
DNSFilter consente di monitorare l'utilizzo della rete e bloccare i siti, ma quando blocca un sito vuole mostrare un messaggio di errore, quindi se il traffico è crittografato deve essere in grado di decrittografarlo, cosa che può fare solo con:
- Avere il certificato originale
- Creazione di un nuovo certificato
Perché c'è un avvertimento
Poiché il nuovo certificato non è considerato affidabile dalla macchina, viene visualizzato un avviso. Questo è vero in entrambi i casi, una CA attaccante non sarebbe affidabile, ma lo sarebbe anche la CA DNSFilter.
Perché il certificato è valido solo per un giorno
Ci sono molti motivi per cui questo potrebbe essere, ma uno dei principali è cercare di ridurre il rischio che ogni singolo certificato pone se è trapelato. L'idea è che finché il certificato radice viene tenuto al sicuro, anche se un sito cert perde, è considerato affidabile solo dai dispositivi che si fidano della CA.
Poiché i certificati vengono generati al volo, non vi è alcun problema con la regolare riemissione richiesta.
L'intercettazione SSL è una buona idea?
L'intercettazione SSL è generalmente una pessima idea, per molte ragioni:
- I dati sensibili possono essere registrati dal dispositivo di intercettazione
- Le chiavi possono essere uguali per tutti i dispositivi, quindi chiunque può intercettare una copia della chiave principale
- La chiave può essere acquisita dal dispositivo, portando a chiunque sia in grado di intercettare
- I certificati EV vengono declassati ai certificati standard
- Le applicazioni che utilizzano il blocco non funzionano con il certificato modificato
Ci sono alcuni casi in cui è accettabile, quando assolutamente è necessario, ma questi non si applicano al WiFi pubblico, in cui non ti fidi in realtà dell'operatore dell'hotspot.