Ho installato un'app su iOS per connettersi a un noto servizio VPN. L'app richiede l'installazione di un profilo su iOS, che per quanto posso vedere è una raccolta di 7 certificati, 5 dei quali sono certificati di firma.
Come novizio in questo settore che ha cercato di auto-educarsi su Internet, potrei aver frainteso. Ma, in teoria, se i certificati di firma "rogue" fossero installati su iOS non permetterebbe che un attacco MITM passasse inosservato? Cioè, per un certificato SSL modificato da inviare al client e il certificato di firma "canaglia" conferma che il certificato è valido?
Se questo è il caso, sono un po 'preoccupato per l'installazione di questi certificati di firma all'interno di iOS. I certificati sono globali? Così, ad esempio, Safari si affiderebbe a loro per verificare un certificato SSL di un sito web? Oppure sono "sanboxed" per l'uso del servizio VPN? Ho provato a trovare queste informazioni ma non riesco a trovare alcuna informazione su di esso.
Qualsiasi aiuto tu possa dare sarebbe molto apprezzato.
Grazie.
PS Per inciso, anche se non ci sono problemi nell'installazione di questi, penso che i venditori dovrebbero far sapere alle persone esattamente cosa stanno facendo installando i certificati. Senza alcuna informazione, la tentazione potrebbe essere quella di installarli alla cieca.