Cosa può vedere la mia università installando un certificato di origine CA sul mio computer, anche quando sto utilizzando una VPN?

Naviga le tue risposte
4

Per utilizzare il wifi nella mia università, devi installare un certificato di root CA da loro. Nel mio caso, sto usando un computer Mac con una VPN installata.

Sono curioso, cosa possono vedermi fare sul mio computer costringendomi a installare il loro certificato? Possono vedere le mie informazioni di accesso ai siti Web? Possono vedere quali siti Web visito, anche se sto usando una VPN? Se è così, c'è qualcosa che posso fare per impedirlo. Non ne so molto dei certificati, quindi ha attirato la mia attenzione.

Inoltre, usano Googles DNS 8.8.8.8 e un paio di DNS che iniziano con 208.

Grazie per qualsiasi informazione.

    
posta Mike 19.01.2015 - 21:59
fonte

2 risposte

4

Dalla tua descrizione, non sembra che tu abbia installato una nuova CA; hai accettato un certificato per autenticare la rete wireless, o accettato una CA già installata per verificare i certificati per autenticare quella rete. Questo non è un rischio per la sicurezza; è abbastanza normale, non consente all'università di firmare i propri certificati e non consente loro di impersonare siti Web. Tutto ciò che fa è verificare l'identità del server che elabora le credenziali che hai utilizzato per accedere alla rete wireless.

Alcuni background: molte università utilizzano la sicurezza WPA / WPA2 Enterprise, che prevede l'accesso alla rete wifi con il nome utente e la password dell'università (inseriti nel client wifi, non in un browser Web). In questi casi, il server di autenticazione (chiamato server RADIUS) deve verificare la sua identità, che fa con un certificato, proprio come per i siti web.

Per i siti Web, una CA può verificare un certificato per un determinato dominio. Tuttavia, non esiste un buon modo per farlo per i server RADIUS; Potrei avere un certificato legittimo per radius.cpast.com , ma ciò non significa che dovresti fidarti del mio server RADIUS quando ti colleghi a SchoolWifi . Quindi, è abbastanza comune chiedere di accettare manualmente il certificato per la rete wireless. Questo non è un rischio per la sicurezza; non accetti una CA controllata dall'università, stai accettando un certificato particolare per quella specifica rete wifi.

(Windows lo fa in modo un po 'diverso: tu fai accetta una CA (già installata) per la rete wireless, ma ricorda anche il dominio del server RADIUS, quindi prova a passare radius.cpast.com per SchoolWifi non funzionerebbe perché Windows accetterebbe solo certificati per radius.school.edu e da una particolare CA che l'utente ha accettato al momento della prima connessione).

Quindi non è insolito ricevere una richiesta di certificato e generalmente non è un rischio per la sicurezza accettarla.

EDIT: Con i tuoi commenti, è ancora più chiaro che questo è ciò che sta accadendo. Thawte è una CA generalmente attendibile; browser e sistemi operativi comuni già si fidano di esso per verificare un sito web. Viene preinstallato sul tuo computer, perché Apple si fida di loro. Tuttavia, è non affidabile per verificare un server RADIUS per impostazione predefinita, quindi stai accettando manualmente il certificato della scuola.

    
risposta data 19.01.2015 - 22:38
fonte
0

Credo che per certificato radice CA, intendi un certificato autofirmato che l'università ti ha chiesto di installare. Ciò consente agli amministratori della rete universitaria di guardare tutto il tuo traffico nudo. Pensa a questo come un altro attacco man-in-the-middle. Quindi sì, se necessario, le informazioni di accesso sono in balia degli amministratori universitari.

Gli indirizzi IP 208.xxx utilizzati per il DNS sono OpenDNS name server

    
risposta data 19.01.2015 - 22:34
fonte

Leggi altre domande sui tag

Autenticazione TLS / OpenVPN / Attacchi MITM su Wi-Fi pubblico [duplicato] È veramente completamente decentralizzato?