È possibile utilizzare i certificati X.509 Passpoint per le connessioni SSL MITM sulle reti Passpoint?

Naviga le tue risposte
3

Le reti pubbliche Passpoint / Hotspot 2.0 come LinkNYC richiedono agli utenti di installare certificati X.509, per l'autenticazione EAP.

Questi certificati possono essere utilizzati dal provider per eseguire attacchi man-in-the-middle tra l'utente e i siti Web HTTPS che l'utente sta navigando?

Oppure i certificati / CA installati per l'autenticazione EAP sono diversi dalla catena di certificati SSL del SO / browser?

Se AP per Passpoint fornisce un certificato autofirmato o anche una nuova CA radice, si fida che questi certificati aprano il client agli attacchi MITM mentre utilizza i siti HTTPS su tale rete?

Inoltre, gli screenshot forniti da questo utente di LinkNYC qui: sembra suggerire link viene fornita un'intera catena fino a una radice per essere installata sul client. L'intera catena è presentata semplicemente a causa delle specifiche EAP-T (TLS) (come menzionato nella risposta accettata qui: Perché è richiesto un certificato CA per i client EAP-TLS? )?

    
posta flak37 18.02.2016 - 20:57
fonte

1 risposta

2

I certificati nelle immagini collegate sono certificati commerciali, pertanto il tuo dispositivo si fida di quelli già in virtù del fatto che il certificato della CA principale è commerciale è nel suo negozio di fiducia.

Il certificato che hai installato è probabilmente un certificato client , che usi per autenticarti con il sistema.

È mia (limitata) comprensione che i sistemi Passpoint devono utilizzare certificati predefiniti come dettato da parte di WiFi Alliance e non ti chiedono di installare un certificato CA root aggiuntivo nel tuo trust store.

    
risposta data 19.02.2016 - 08:25
fonte

Leggi altre domande sui tag

Può ancora eseguire il ping dalla rete sicura? Caricamenti della cartella personale "con orientamento pubblico" nella macchina degli amministratori. Potenziali problemi di sicurezza?