Devo accettare un certificato autofirmato dalla mia università?

6

La mia università ha creato un nuovo dominio a cui noi (studenti) possiamo accedere per fare alcune cose. Chrome blocca il caricamento della pagina in questione dicendo che il certificato non è valido:

Your connection is not private

Attackers might be trying to steal your information from [site url] (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID

Ho chiesto chiarimenti e mi hanno detto che usano un certificato autofirmato per evitare di dover pagare uno.

La mia domanda è: è davvero sicuro ignorare il consiglio di Chrome? Devo inviare le credenziali dell'università a questa connessione, quindi preferirei non espormi a minacce non necessarie.

Devo anche sottolineare che questo non è il dominio principale del sito universitario, ma uno secondario dove una parte degli studenti può accedere per fare alcuni esercizi e test online.

    
posta rubik 03.11.2015 - 22:29
fonte

5 risposte

5

Non è un problema utilizzare un certificato autofirmato a condizione che tu lo distribuisca agli utenti in modo che possano verificare che il certificato che stanno approvando sia il certificato per il sito originale e non un sito che lo spoofing. In questa situazione, ti viene detto di approvarlo ma non hai modo di convalidare che ti stai collegando al sito corretto.

Quindi c'è sicuramente il rischio di accettarlo. Se qualcuno è stato in grado di creare un sito falso, metterci sopra il proprio certificato autofirmato e in qualche modo convincerti ad andare lì (tramite ingegneria sociale, manomissioni DNS, attacchi WiFi, ecc ...), approveresti un certificato per il sito dell'aggressore e non visualizzare più questo avviso. Quindi passerai felicemente le tue credenziali a quel sito. Molto male.

Ciò di cui hai bisogno è ottenere l'impronta digitale del certificato autofirmato e confrontarlo con ciò che il tuo browser sta vedendo (vedi questa pagina per riferimento ). Ma immagino che avrai difficoltà a ottenere ulteriori informazioni dai proprietari del sito. Quindi devi decidere se hai intenzione di correre il rischio o meno. Un modo per ridurre un po 'il rischio è cercare di effettuare la connessione iniziale quando si approva che il certificato venga eseguito su una connessione Internet più sicura. Ad esempio, una connessione cablata è probabilmente più difficile da alterare da un utente malintenzionato rispetto a una connessione WiFi.

A seconda di come è configurato il sito, potresti essere in grado di collegarti ad esso, approvare il certificato, accedere con il tuo ID scuola, quindi cambiare immediatamente la password della scuola (meglio se da un altro browser). Ciò ridurrà la finestra di esposizione se la connessione viene snoopata. Speriamo che il sito ti permetta di rimanere connesso per gli accessi successivi in modo da non doverlo fare ogni volta.

Alla fine, dovrai ottenere maggiori informazioni sul certificato in modo che tu possa verificarlo a mano o incrociare le dita e sperare per il meglio.

    
risposta data 03.11.2015 - 22:52
fonte
4

Puoi fidarti di un certificato autofirmato se convalidi l'identificazione personale del certificato tramite il canale fidato - ad esempio il ragazzo IT scrive l'impronta digitale sul foglio e lo confronta con il valore nel browser. Se ti fidi dell'università, ottieni il certificato root ca, convalidalo e importalo nel sistema.

    
risposta data 03.11.2015 - 23:30
fonte
3

puoi.

E per quanto sorprendente possa sembrare, oggi un certificato che verifica te stesso è qualcosa che dovresti considerare il più affidabile. Un verificato trust.

D'altra parte, la fiducia che non hai mai verificato nei certificati magicamente riconosciuti incorporati nel tuo browser è di valore molto inferiore. Questo è un trust non verificato , un magico trust.

L'avviso di Chrome (o altri browser che ti avvisano allo stesso modo) è legittimo e vuole proteggerti dai certificati autofirmati dalla giungla. Ma qui chiaramente non sei in questa giungla.

Non devi ignorare questo avviso legittimo di Chrome, devi prima verificare questo certificato e poi renderlo Chrome accettarlo.

    
risposta data 03.11.2015 - 22:58
fonte
0

La tua università può ottenere un certificato SSL gratuito da link oppure puoi utilizzare Mozilla Firefox con componenti aggiuntivi come link

    
risposta data 04.11.2015 - 10:56
fonte
0

Se sai che il sito dovrebbe utilizzare un certificato autofirmato, che fai, e ti stai connettendo tramite una connessione sicura nota, è sicuro ignorare il messaggio - il messaggio di avviso è perché i certificati firmati di solito indicano che qualcuno sta utilizzando la connessione MIM. Tuttavia, ignorando il messaggio, ti lasci vulnerabile a un attacco MitM da parte di qualcuno che utilizza un certificato diverso, se davvero vuole rubare le tue credenziali.

Se si desidera aumentare la sicurezza della connessione, è possibile salvare questo certificato, in modo da non ottenere una richiesta di sicurezza durante la connessione utilizzando il certificato corretto, ma lo farà se qualcuno tenta di contraffarlo. Supponendo che stai utilizzando Chrome su Windows e che ti fidi del publisher di certificati :

  • Connettiti al server tramite una connessione sicura nota e accetta la richiesta di sicurezza.
  • Fare clic sul lucchetto, connessione, informazioni sul certificato, quindi vai alla scheda Dettagli.
  • Fai clic su copia su file, poi segui le istruzioni nella procedura guidata, salvandolo in un posto memorabile.
  • Chiudi la finestra di dialogo delle informazioni sul certificato, quindi vai alla pagina delle impostazioni di Chrome e fai clic su Gestisci certificati.
  • Fai clic su Importa, quindi carica il file che hai salvato nella procedura guidata precedente.
  • Seleziona "Metti tutti i certificati nel seguente archivio" e seleziona "Autorità di certificazione radice attendibili"
  • Fai clic su Avanti, quindi leggi e accetta i messaggi di sicurezza.
  • Riavvia Chrome

Ora dovresti essere in grado di connettersi al server senza alcuna richiesta di sicurezza, purché utilizzi quel particolare certificato.

    
risposta data 03.11.2015 - 23:12
fonte

Leggi altre domande sui tag