in cosa viene impostato "nessun valore specificato" in keychain su osx?

1

Nel portachiavi di osx stavo sfogliando certificati che la mia scuola mi costringe a fidarmi e mi sono imbattuto in un'autorità di certificazione intermedia firmata da un utente non fidato, credo che sarei io e mi stavo chiedendo a cosa avrebbe fatto il certificato di fiducia quando "nessun valore specificato" è ciò a cui sono assegnati i certificati ssl? Mi chiedo anche quale tipo di certificati questo certificato intermedio potrebbe emettere / firmare?

Le immagini sottostanti sono della radice intermedia ca, come nota a margine che questo ca è già stato utilizzato per firmare i certificati per la politica di base x.509 e il protocollo di autenticazione estensibile (EAP) che ha senso poiché è usato per connettersi alla rete wifi .

Di seguito sono elencate alcune delle domande che ho avuto su come è impostato il wifi della mia scuola e su come posso proteggermi

  1. Può la radice intermedia ca che la mia scuola mi costringe a fidarsi di uomo nel mezzo del mio sistema firmando / emettendo certificati ssl?
  2. può cambiare il certificato che il certificato intermedio della CA ha rilasciato fiducia in "Non fidarsi" di tutto, ma EAP e X.509 potrebbero essere d'aiuto?
  3. Revocherà la fiducia della CA intermedia dopo che il wifi della scuola mi ha fornito un certificato EAP per connettersi al wifi. permettimi di usare entrambi la rete wifi e di non avere l'uomo della scuola nel mezzo della mia connessione? e se sì, come potrei fare questo su IOS?
  4. Finalmente mi stavo chiedendo cosa avrebbe fatto qualcun altro nella mia posizione con i prezzi dei dati mobili a Toronto così alti?
  5. ciò che la scuola mi chiedeva era un ragionevole compromesso tra sicurezza e funzionalità? -
posta Mohammad Ali 30.08.2017 - 20:22
fonte

1 risposta

2

Per essere onesti, ultimamente non ho usato OS X, ma il mio sospetto è: Sì.

Non impostare valori specifici per quei tipi di utilizzo che sostituiscono il sistema predefinito è irrilevante, in quanto il certificato è una CA.

Con queste opzioni, puoi non consentire un utilizzo specifico per un certificato specifico.

Puoi verificare se sei MITM controllando la CA del certificato. Tieni inoltre presente che con PK-Pinning e HSTS, è più difficile per SSL-Proxies funzionare senza che tu te ne accorga facilmente, a condizione che il sito Web sia pronto per questo.

Ci sono plug-in del browser che controllano ciò che gli altri ottengono per un certificato per un dato dominio, avvisandoti ulteriormente di un MITM.

Quindi il MITM durante la navigazione può essere mitigato, lasciando altri servizi basati su TLS. C'è DANE per questo, ma deve essere supportato dal client e dal server e non è così diffuso come ci si aspetterebbe.

Per quanto riguarda "la scuola mi costringe a fidarmi di questa CA", potresti anche importare tutti i certificati foglia che la CA ha firmato a mano e fidarti esplicitamente di avere accesso ma non fidarti della CA. Quindi, sai quando qualcosa non va, ma devi concedere a volte fiducia ai nuovi certificati foglia.

Ciò funzionerebbe per qualsiasi altro sistema operativo con un trust store centralizzato e gestibile dall'utente.

Il peso di questo trade-off è un'opinione personale, mentre quando si è consapevoli si potrebbe ridurre l'utilizzo a applicazioni non critiche oa quelle garantite da DANE.

    
risposta data 30.08.2017 - 20:33
fonte

Leggi altre domande sui tag