Il wifi della mia scuola chiede di "fidarsi" di un certificato su Iphone, consente loro di visualizzare il traffico SSL?

Va bene. Il certificato installato e attendibile viene utilizzato per fornire un'autenticazione protetta contro il proprio server RADIUS e impedire la connessione al server RADIUS canaglia. Se qualcuno decide di rubare le credenziali di Active Directory installando un server RADIUS canaglia, verrà visualizzato un avviso con il quale il certificato RADIUS non è attendibile.

Affidandoti a questo certificato non rischierai altro. Questo certificato non può essere utilizzato dalla scuola per leggere il traffico SSL o tentare di MITM il traffico SSL. Da quello che ho letto nella tua domanda, la tua scuola lo fa correttamente e si preoccupa della tua sicurezza.

Per quanto riguarda la tua domanda: perché il tuo telefono non si fida di quel certificato (che è certamente rilasciato dall'autorità fidata). RADIUS richiede la fiducia esplicita su un particolare certificato di autenticazione RADIUS, poiché non si conosce l'AP a cui ci si connette. In caso contrario, un utente malintenzionato potrebbe ottenere un certificato da un altro fornitore CA affidabile (ad esempio, Let's Encrypt) e utilizzarlo per impersonare il server RADIUS della scuola e rubare le credenziali.

Questo non è un problema nel contesto SSL, perché sai che tipo di certificato ti aspetti, perché scrivi manualmente il nome del sito web nella barra degli indirizzi. In Wi-Fi non so a quale AP sei connesso e per assicurarti che sia legittimo, l'AP dovrebbe fornire un certificato RADIUS di cui ti fidi esplicitamente.

    

My phone does not trust this by default it seems. Is it because this theoretically allows my school to decrypt SSL communications?

In base alla descrizione, no.

If it really were from DigiCert, surely my phone would trust it?

Il problema è che prima di autenticarti sulla rete wireless, non sei effettivamente connesso alla rete e non puoi raggiungere nessun altro host. Quando il tuo dispositivo tenta di autenticare, il supplicant EAP sul tuo telefono comunicherà solo con il server di autenticazione.

Con la maggior parte dei metodi EAP utilizzati dalla tecnologia wireless 802.11, il server presenterà un certificato al richiedente EAP e il richiedente deve prendere una decisione se passerà le credenziali (nome utente / password) al server. Poiché il tuo dispositivo non è ancora connesso alla rete, il supplicant EAP funziona con conoscenze limitate.

Al minimo, a meno che la convalida del certificato non sia disabilitata, il richiedente EAP verificherà che il certificato sia un certificato valido emesso da una CA attendibile e che il nome host elencato nel certificato corrisponda al nome host del server di autenticazione.

Con alcuni supplicanti EAP, è anche possibile configurare facoltativamente una o più CA designate come emittente del certificato (ad esempio solo da Thawte o Digicert) e / o nomi host specifici per i server di autenticazione. Molti dispositivi mobili (telefoni, tablet, ecc.) Non hanno queste opzioni.

Senza utilizzare queste opzioni o altri tipi di controllo, il telefono accetterà automaticamente qualsiasi server di autenticazione che fornisca un certificato valido con un nome host corrispondente. Ciò renderebbe facile per un utente malintenzionato imitare la rete wireless della tua scuola e acquisire le credenziali sul proprio "server di autenticazione". La richiesta di accettare il certificato è la tua possibilità di approvare o rifiutare l'invio delle tue credenziali al server di autenticazione.

Una volta che hai accettato il certificato per la prima volta, dovresti sempre vedere di nuovo il prompt se al tuo telefono viene presentato un certificato diverso (oppure elimini e aggiungi nuovamente il profilo wireless). Alcune scuole avranno più server di autenticazione quindi non è raro vederlo più volte. Tuttavia, se dovessi trovare un certificato sospetto (ad esempio "arubuwifi.jimbobscomputers.com"), non dovresti accettarlo.