Quale accesso fornisce l'installazione del file di certificato personalizzato?

Quando installi il certificato, permetti al servizio in esecuzione sul tuo telefono di usarlo per tecnicamente MitM il tuo traffico - può decifrare il traffico prima di vederlo, modificarlo, inviarlo su un altro server, inietti gli script - qualsiasi cosa e ancora lo fai sembrare valido per il tuo browser dato che rinvia i dati con il proprio certificato che hai installato manualmente. Questo è l'avvertimento che ricevi - Android ti sta solo avvisando di essere cauto quando hai installato il certificato poiché non ti puoi fidare di ciò che vedi sullo schermo non essere controllato.

Il problema qui è che, installando un certificato di root, stai dicendo al tuo dispositivo che chiunque detiene la chiave privata del certificato ed è in grado di emettere ulteriori certificati, è degno di fiducia in materia di qualsiasi servizio crittografato con SSL. genuina. Se sei sicuro di avere l'unica copia della chiave privata, la presenza di tale certificato non dà immediatamente ad altre persone alcun accesso aggiuntivo. (Tuttavia, rubare la chiave privata da te potrebbe essere più economico per un avversario sufficientemente determinato rispetto al furto di uno da un'agenzia di certificazione professionale.) Tuttavia, se stai installando un certificato di origine che proviene da qualcun altro, come un datore di lavoro, puoi dando loro la possibilità di emettere certificati falsi che il tuo dispositivo considererà vero, ed è qui che risiede il rischio di MitM e il relativo monitoraggio.

Si noti che i certificati si applicano a tutti i servizi crittografati con SSL, non solo ai siti Web. In particolare, vorrei sottolineare che oggi SSL è ampiamente utilizzato per le e-mail, incluso l'accesso IMAPS / POPS alle caselle di posta remote.