La scuola My (portare il tuo dispositivo) ha recentemente implementato l'intercettazione TLS per i motori di ricerca e Youtube. Tutti abbiamo installato un certificato di root come "Trusted Root CA."
Dai un'occhiata al falso certificato google utilizzato per l'intercettazione, include * .google.com, * .android.com e ogni altro dominio di google come nomi alternativi.
Il punto cruciale del problema, tuttavia, è che ogni certificato nel distretto sembra utilizzare la stessa chiave privata. Ho eseguito questi comandi:
diff -s <(openssl x509 -pubkey -noout -in root.crt) <(openssl x509 -pubkey -noout -in fake-google-signed-with-root.crt)
diff -s <(openssl x509 -pubkey -noout -in root.crt) <(openssl x509 -pubkey -noout -in fake-google-signed-with-root-2.crt)
e per entrambi i comandi ha ottenuto "File / dev / fd / 63 e / dev / fd / 62 sono identici" come output.
Questo significa che il certificato di origine e il certificato google firmato contengono la stessa chiave privata? Ogni scuola del distretto dovrebbe utilizzare lo stesso certificato google falso? Quali sono le implicazioni per la sicurezza di questo?