Quanto è pericoloso fidarsi di un "Esempio di certificato server"?

Question

Quanto è pericoloso fidarsi di un "Esempio di certificato server"?

#1 da (5 voti)

1

Durante la connessione al Wi-Fi della mia università, che autentica i client tramite "EAP-PEAP (MSCHAPv2)", ho ricevuto il seguente messaggio:

Nonhoavutoaltrasceltachefidarmidiquestocertificato,perchéaltrimentinonavròaccessoaInternetnellabibliotecascolastica.Tuttavia,perpaura,hodeselezionatol'opzioneAffidatisempre"Esempio certificato server" prima di fare clic su Continua .

C'è una vulnerabilità di sicurezza nel sistema di autenticazione Wi-Fi della mia università? Suppongo che anche un altro crei un certificato con il nome "Esempio di certificato server", la firma digitale sarebbe diversa, quindi sono probabilmente sicuro, ma confidare in un certificato con un nome così strano mi fa ancora sudare.

authentication wifi certificates certificate-authority wpa2-eap

posta nalzok 01.12.2017 - 12:55

fonte

1 risposta

Leggi altre domande sui tag authentication wifi certificates certificate-authority wpa2-eap

In che modo l'utente ottiene l'accesso per accedere quando le password sono memorizzate in MD5? Ricerca di selettori DKIM senza mailing

score 5 · Accepted Answer

Is there a security vulnerability in my university’s Wi-Fi authentication system?

Ci sono molti problemi:

Sembra che abbiano appena pensato che gli utenti accetteranno qualsiasi certificato. Il modo corretto consiste nell'utilizzare un certificato con un argomento utile firmato da una CA già affidabile o insegnare agli utenti come distinguere un certificato valido da un falso (come il controllo dell'impronta digitale).
Come @schroeder ha già sottolineato: questo assomiglia al certificato predefinito che potrebbe essere utilizzato anche in altre installazioni e in cui è probabilmente nota la chiave privata.

Per questo motivo sarà facile per qualche malintenzionato creare il proprio punto di accesso che sembra uguale e montare un uomo nell'attacco intermedio per annusare e modificare qualsiasi connessione che non sia crittografata (ad es. HTTPS di solito funziona bene, semplice HTTP non è).

Naturalmente, potrebbe anche darsi che l'università abbia fatto tutto correttamente, ma che tu sia collegato a un punto di accesso creato da un utente malintenzionato che sperava in utenti creduloni.