Domanda:
Perché una scuola dovrebbe installare i certificati sui laptop degli studenti?
gatorback
2019-01-09 19:43:48 UTC
view on stackexchange narkive permalink

Questa domanda indica che i genitori devono acquistare laptop per una scuola per installare software e certificati. Sto cercando di capire i motivi dell'installazione di certificati del sito :

  • Perché dovrebbero essere installati i certificati del sito?
  • Qual è il potenziale di problemi con la pratica?

    • Sto cercando di capire sia legittimo (costruttivo) motivi per i certificati e potenziale uso improprio / abuso. Non è chiaro dal thread come le scuole possano in qualche modo decrittare il traffico con certificati.

    Molto strettamente correlato se si tratta di certificati radice: [Il mio college mi sta costringendo a installare il loro certificato SSL.Come proteggere la mia privacy?] (Https://security.stackexchange.com/q/104576/46674)
    I certificati vanno bene, sono belli.sono utili per concedere a chi lo usa è chi dice di essere.Un ulteriore vantaggio è che se la relazione viene interrotta, il certificato può essere revocato dall'autorità di certificazione.
    In caso di dubbi sulle informazioni sulla scuola fornite sui certificati, suggerirei di modificare la domanda e di aggiungere ciò che non è chiaro.
    Alcuni stati hanno [legislazione che richiede che le scuole filtrino i contenuti web] (http://www.ncsl.org/research/telecommunications-and-information-technology/state-internet-filtering-laws.aspx).Alcune scuole imposteranno un proxy trasparente piuttosto che fare affidamento sul fatto che ogni dispositivo sia impostato per utilizzare esplicitamente il proprio server proxy (che alcuni riterrebbero necessario per rispettare le leggi quando le persone hanno il controllo sui propri dispositivi).L'installazione dei certificati impedirebbe al dispositivo di lamentarsi di un attacco MITM (che è fondamentalmente quello che sta succedendo)
    Sette risposte:
    Lie Ryan
    2019-01-09 20:59:03 UTC
    view on stackexchange narkive permalink

    Esistono due diversi tipi di certificati che è possibile installare su una macchina:

    1. Il primo tipo di certificato è l'autorità di certificazione radice. Un certificato radice contiene solo una chiave pubblica dell'autorità di certificazione. Un certificato radice è un trust anchor installato nella tua macchina in modo che la tua macchina possa identificare i siti "attendibili" a cui connettersi, un'autorità di certificazione può emettere un reclamo sotto forma di un certificato del server che "X è proprietario del dominio Y" e poiché la tua macchina si fida dell'autorità di certificazione radice, si fiderà di tale affermazione. Se la scuola / azienda installa un certificato radice sulla tua macchina, la tua macchina si fiderà di tutte le connessioni fatte al server della scuola / azienda pensando che sia legittima. Se installi un certificato radice, la scuola / azienda sarà in grado di intercettare qualsiasi connessione SSL / TLS effettuata dalla tua macchina che attraversa la sua rete senza attivare errori / avvisi del certificato del browser .

    2. Il secondo tipo di certificato è il certificato client. Un certificato client contiene una chiave privata univoca per te e un certificato firmato dall'autorità di certificazione della scuola / azienda. Un certificato client viene utilizzato per l'autenticazione della macchina nell'infrastruttura della scuola, dimostrando che sei tu a connetterti. Un certificato client viene utilizzato essenzialmente come una soluzione migliore per le credenziali di autenticazione rispetto al dover ricordare le password. Un certificato client non può essere utilizzato dalla scuola / azienda per intercettare le connessioni effettuate dalla tua macchina a server che non sono di proprietà della scuola / azienda.

    Un certificato client va bene da installare e non dovrebbe causare problemi di sicurezza. Al contrario, fai molta attenzione all'installazione di un certificato radice, poiché è motivo di preoccupazione poiché il certificato radice può essere facilmente utilizzato in modo improprio.

    Vorrei affermare l'ultima riga un po 'più energicamente: un certificato radice che è sotto il controllo delle stesse persone che possiedono la rete utilizzata per connettersi a Internet ** dovrebbe essere considerato come uno spyware. ** Dovrebbe essere evitato se non del tuttopossibile, e se non è possibile, la macchina dovrebbe essere trattata come compromessa e utilizzata il meno possibile.Non c'è alcun motivo legittimo per chiederti di metterne uno sulla tua proprietà personale.Se la scuola vuole farlo, può fornire i laptop da sola.
    Esistono motivi semi-legittimi per l'installazione di un'autorità di certificazione radice.Ad esempio, potrebbero trovare utile utilizzare un dominio non valido (.local) sulla loro rete privata, ma desiderano comunque supportare la crittografia.Si tratta di fiducia, anche nel più ampio contesto PKI.Una CA valida non è sempre affidabile, vedere DigiNotar.
    @JesseK Hai assolutamente ragione, ma mi fiderei comunque di una CA pubblica più di quanto mi fiderei di un tipico sistema scolastico.Un sistema scolastico non è a rischio di "morte" in quanto "organismo collettivo" se i suoi certificati vengono violati come è una CA pubblica, un sistema scolastico ha la capacità di * imporre un forte gradiente di incentivi * fino al punto di forzarefavore di essere attendibili mentre una CA pubblica non ha tale leva a meno che non raggiunga una saturazione del mercato sufficientemente ampia e un sistema scolastico che perde le chiavi principali è molto meno probabile che venga segnalato o gestito correttamente a causa di fattori istituzionali.
    @mtraceur Oh, non ho dubbi che il sistema scolastico non dovrebbe essere nel settore CA, ma ci sono molte pratiche mediocri che incontrerai nel mondo, e questo non è certo il peggiore.
    Non tutti i certificati attendibili devono essere CA root.Windows, che si basa sui certificati per molti scopi di autenticazione in un dominio, ha il concetto di certificati di "attendibilità aziendale", che sono limitati a specifiche attività di autenticazione.Un altro esempio sono i certificati WPA2-Enterprise / 802.1x, che quasi tutti i sistemi operativi consentono di fornire un certificato attendibile solo per l'autenticazione di rete.
    @JesseK: In tal caso dovrebbero vincolarlo per nome.Vedi https://security.stackexchange.com/a/130674/25512
    Qual è l'alternativa all'installazione però?Il certificato CA viene probabilmente utilizzato per creare certificati per i siti interni.L'alternativa sembra essere quella di utilizzare i siti senza verificare che sia la scuola con cui stai parlando.Anche questo sembra molto insicuro.Penso che il commento di @Joshua sia utile, i vincoli di nome mi sembrano, meglio che non installare un certificato.
    @kutschkem: Se l'app che usi supporta la limitazione del certificato, puoi farlo.In caso contrario, potresti voler installare il certificato in un profilo browser alternativo e utilizzare quel profilo alternativo solo per accedere ai siti della scuola.Firefox utilizza il proprio archivio di certificati e credo sia per profilo.Credo che Chrome e IE / Edge utilizzino l'archivio dei certificati di sistema e questo è condiviso con tutte le istanze in quel profilo.Non so se esiste un modo per vincolare il certificato a un profilo Chrome / IE / Edge specifico.
    Forse puoi aggiungere un terzo tipo di certificato al tuo post: quando la scuola utilizza un certificato non attendibile per il proprio sito Web, server di posta elettronica o simili, potrebbe installare il certificato del server sui client, quindi è attendibile anche quando nessuna CA attendibilel'ha firmato.Questo è un altro uso legittimo senza potenziale abuso, quando in realtà è un certificato per il proprio nome di dominio.
    Notare che mentre vedere un certificato di root come spyware è ragionevole, a volte è necessario "spyware" sui computer.Ad esempio, lavorare su reti sensibili spesso implica il monitoraggio di tutte le attività degli utenti, inclusa la navigazione web crittografata.I laptop governativi spesso hanno certificati di root installati in modo che i firewall possano monitorare tutto il traffico e cercare malware che si connette in uscita utilizzando HTTPS.Personalmente starei bene che l'attività informatica di mio figlio ** a scuola ** venga monitorata allo stesso modo, per assicurarmi che non vengano sfruttati o vittime di bullismo, ecc.
    @ToddWilcox Sì, ma non stiamo parlando dell'attività informatica della scuola.Si tratta di laptop che 1) vengono portati a casa e 2) sono di proprietà dello studente (o, più probabilmente, dei suoi genitori).Non esiste uno scopo legittimo per la scuola di inserire spyware su una macchina del genere.
    @MasonWheeler Penso che lo scopo legittimo sia monitorare ciò che accade a scuola e la conseguente mancanza di sicurezza a casa ne è un effetto collaterale.Forse non è un ottimo modo per raggiungere quello scopo, ma è uno scopo legittimo.
    //, @MasonWheeler, potresti essere convinto ad aggiungere quel commento come risposta?Mi considero un ragazzo abbastanza sicuro, ma l'ho capito solo quando me lo hai fatto notare.
    @allo Allora sarebbe solo pigrizia da parte della scuola.Ottenere certificati SSL autentici e firmati è gratuito fintanto che hai il dominio.Potresti obiettare che se è interno solo allora incorrerebbe nel costo del mantenimento del dominio, ma questo è tutto.
    Per ottenere informazioni corrette (sto imparando da solo), sembra che l'utilizzo di un certificato di origine di questo tipo sia considerato "spyware" solo quando si passa attraverso i server della scuola?Quindi sarebbe solo all'interno della loro rete?
    @Magisch Certamente.Ma la domanda qui è "perché" e non "come possono fare di meglio".E questa sarebbe una quarta ragione con una sorta di legittimazione, anche quando * potrebbero * fare di meglio.
    @allo ma l'OP chiede "perché una scuola dovrebbe aver bisogno di" e il tuo esempio rientra in "non ne hanno bisogno, sono semplicemente troppo pigri per fare la sicurezza correttamente"
    Naturalmente, non * necessario *.Ma penso che la vera domanda sembra riguardare "C'è un motivo per farlo nonostante il traffico e altre cose brutte".E non sai se effettivamente * c'è * un motivo per una propria CA o per i domini autofirmati (ad esempio `` .local '').Ovviamente puoi discutere se questo è un cattivo modo per gestire il DNS nella tua rete (probabilmente lo è), ma questa è più una domanda per serverfault che per security.stackexchange.
    @user3773048 Perché il certificato contiene un'autorità di certificazione radice.Ciò significa che puoi emettere certificati per altri siti e fare in modo che siano considerati affidabili dal computer, ed è possibile farlo senza la conoscenza o il consenso del proprietario del sito.Ciò significa che l'operatore di rete può decrittografare il traffico HTTPS in arrivo, crittografarlo nuovamente con i propri certificati fraudolenti e inoltrarlo al client, che ha un certificato radice che dice "non c'è niente di sbagliato in questa transazione" quando è effettivamente compromesso.
    AilimrhljsCMT Fatto.
    @MasonWheeler Mi piace e apprezzo la tua risposta completa a questa domanda, ma un certificato, da solo, non è un software;e quindi non può essere spyware, nonostante l'ovvio parallelismo che possa fornire a un utente malintenzionato un certo livello di capacità di spionaggio.Non voglio essere incredibilmente pedante, ma mi fa infuriare quando i media usano in modo errato la terminologia di sicurezza, quindi dobbiamo essere molto precisi su come usiamo questi termini.Un certificato radice "facilita lo spionaggio", con cui non credo nessuno possa discutere.Hai votato positivamente la tua risposta.
    Serge Ballesta
    2019-01-09 23:16:38 UTC
    view on stackexchange narkive permalink

    Bene, c'è almeno un caso d'uso legittimo. È comune per le grandi organizzazioni e le università eseguire un'infrastruttura PKI privata. Ciò significa che hanno un certificato radice (protetto) che viene utilizzato per firmare (con eventuali sotto-autorità) vari certificati.

    Ed è anche comune usare quella PKI privata per firmare server HTTPS che non sono destinati to da usato pubblicamente: l'unico requisito è che i client (interni) dichiarino tutti il ​​certificato root privato.

    Il rischio è un attacco MITM alle connessioni HTTPS. In effetti, viene spesso presentato come una funzionalità dagli amministratori della sicurezza. Molti di loro non consentirebbero mai le connessioni HTTPS da un ambiente protetto se non possono essere ispezionati a fondo (*). Ciò significa in realtà che quando si HTTPS dalla rete interna tramite il proxy dedicato, tutto può essere registrato. L'unica regola è che gli utenti ne siano avvisati. È qualcosa di veramente privato, semplicemente non dovrebbe essere fatto dalla rete interna.

    È comune utilizzare una forte sicurezza periferica su grandi organizzazioni attraverso il filtraggio dei proxy. Questi proxy analizzano il peer e il tipo di traffico al fine di prevenire vari attacchi e infezioni. Ma poiché HTTPS è crittografato, il proxy non può sapere cosa viene effettivamente scambiato a meno che l'attacco MITM non sia attivo.

    Sarebbe fantastico se questo tipo di CA interne dichiarasse l'autorità solo sui domini utilizzati all'interno dell'organizzazione, ma non credo che la maggior parte dei sistemi supporti questo tipo di fiducia limitata comunque.
    @JanHudec Penso che tu possa emettere e installare un certificato jolly privato per `* .mydomain.local` senza bisogno di installare un certificato di root.
    In teoria [HPKP] (https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning) dovrebbe alleviare il problema MITM, ma non è ampiamente diffuso (per una buona ragione).
    @jjmontes, puoi, ma in un'organizzazione più grande vuoi davvero avere un certificato separato per ogni servizio per limitare i danni nel caso in cui quello sia compromesso, e questo significa installare un'autorità di certificazione organizzativa.Ma tale autorità dovrebbe avere autorità solo sul tuo dominio, sia per limitare nuovamente i danni nel caso in cui venga compromesso, sia per prevenire accuse di uso improprio.
    * .mydomain.local è sotto TLD riservato.Sebbene fosse una pratica piuttosto comune, a partire dal 2012 CA / B, le CA pubbliche non sono più autorizzate a emettere certificati per domini interni.Ciò significa che l'utilizzo di TLS con .local TLD richiederà sempre l'installazione di certificati radice.
    hiburn8
    2019-01-09 20:50:29 UTC
    view on stackexchange narkive permalink

    Se i browser dei sistemi degli studenti hanno un certificato scolastico nella radice attendibile dell'installazione del certificato (a seconda del browser questo certificato potrebbe dover essere il pacchetto di certificati del sistema o del browser), allora se il traffico passa tramite un proxy di intercettazione (come tramite il wifi della scuola), la scuola è in grado di decriptare il traffico con la chiave privata. Le connessioni ai siti web non sono quindi sicure end-to-end, ma il proxy può ristabilire una connessione sicura al sito stesso e mantenere al sicuro i dati almeno durante il transito. Questi dispositivi sono noti anche come SSL-Decrypters (sebbene in realtà siano TLS / SSL) e quasi tutte le organizzazioni con cui ho lavorato li utilizzano in qualche modo (sono un penetration tester, lavoro in molte banche).

    Ci sono una serie di ragioni per cui vorresti farlo, ma la maggior parte delle installazioni si riduce alle aziende che vogliono spiare gli utenti per individuare più facilmente potenziali incidenti di sicurezza (malware in rete) o semplicemente rilevare un utilizzo improprio .

    Una volta ero un ragazzino e metà di quello che facevo su quei computer non era affatto un lavoro scolastico, se le scuole possono capire come affrontare il problema dei bambini che usano sistemi (anche i loro) per scopi illegittimi compiti, è una buona cosa nel mio libro. Sono un grande sostenitore della privacy, ma la scuola avrà questi poteri di decrittografia solo quando sarai connesso a Internet tramite il loro proxy. Quindi, se sei connesso a una rete di cui non ti fidi e non possiedi, su un sistema di cui non hai eseguito il provisioning, stai giocando (e accettando) le regole di qualcun altro.

    "la scuola avrà questi poteri di decrittografia solo quando sei connesso a Internet tramite il loro proxy" a seconda di come è configurata la macchina, questo potrebbe non essere necessariamente vero, è possibile che la macchina sia configurata per utilizzare ancora il proxy della scuolaanche al di fuori della rete scolastica.Inoltre, se la scuola ha fatto trapelare la propria chiave privata a questo certificato, la tua macchina sarà vulnerabile alle intercettazioni da parte dell'hacker se configurano un proxy / punto di accesso che stai utilizzando al di fuori della rete della scuola.
    Buon punto sul proxy a livello di sistema, migliorato.Sebbene il "proxy anche quando si è al di fuori della rete scolastica" non è possibile.Se stai dicendo che il sistema potrebbe connettersi a un proxy con connessione a Internet in ogni momento ... certo ... ma quell'endpoint con connessione a Internet è secondo me la rete della scuola, anche se è ospitata su AWS o ovunque.Se puoi impedire al sistema di parlare con quel proxy, non può fisicamente proxy nulla.
    Supponendo che OP si riferisca all'aggiunta di un certificato radice al truststore (che presumo sia il caso) questa è la risposta migliore.Non penso che questa sia una * buona * pratica ma sfortunatamente sembra essere la norma, almeno per le grandi aziende.
    Se è il tuo dispositivo, anche se stai utilizzando la rete scolastica, il traffico comune per altri servizi come posta, chat, aggiornamenti software sarà sotto il controllo della scuola (e forse registrato o visto da qualcuno), mettendo a rischio gli utenti.Al giorno d'oggi gli utenti non hanno davvero il controllo sui processi in background che vengono eseguiti sui loro dispositivi, quindi chiedere loro di non utilizzare tali servizi non è un'opzione.La conclusione è: un'organizzazione che non fa parte della CA non dovrebbe mai richiedere certificati radice che possano firmare domini arbitrari nei personal computer degli utenti e gli utenti non dovrebbero mai accettarli.
    jacob_pro
    2019-01-10 21:19:08 UTC
    view on stackexchange narkive permalink

    Dipende da cosa intendi per "site certifite", ma questa risposta è per il caso di un'autorità di certificazione radice:

    La maggior parte delle scuole, almeno nel Regno Unito, non so altri paesi, utilizzare una qualche forma di filtro web. Ciò comporta in genere un firewall / proxy che intercetta il traffico Web e ispeziona il contenuto della pagina.

    Tuttavia, HTTP fornisce la crittografia end-to-end tra il computer dell'utente e il sito Web, di conseguenza quando ci si connette a un Il sito Web HTTPs tutto ciò che il proxy sarebbe in grado di vedere è l'indirizzo IP di destinazione, ma nessuna informazione sui contenuti della pagina web.

    Non sarebbe pratico bloccare semplicemente tutto il traffico HTTP, quindi invece mantenere il sistema di filtraggio richiede alla scuola di rompere il modello di crittografia end-to-end, terminando la crittografia sul firewall / proxy. Quindi passa la connessione all'utente, ma deve utilizzare il proprio certificato. Questa configurazione consente loro di leggere tutte le comunicazioni tra il computer dell'utente e il sito web. (Un attacco man-in-the-middle)

    I certificati HTTP vengono utilizzati per impedire che ciò avvenga in modo dannoso, perché il certificato presentato è stato firmato dal firewall / proxy della scuola (piuttosto che da un'autorità di certificazione attendibile, ad esempio Verisign) il software del laptop non si fiderà della connessione (vedrai un avviso di sicurezza / un messaggio di errore nel tuo browser). Tuttavia, installando il certificato della scuola come autorità radice attendibile, la connessione sarebbe invece considerata attendibile e il tuo browser funzionerebbe normalmente.

    La conseguenza di ciò è che qualsiasi comunicazione HTTPS dal tuo laptop può essere intercettata e lette dalla scuola (anche se nel browser appare come protette).

    Più in generale chiunque avesse accesso al certificato della scuola e alla chiave privata e avesse anche accesso fisico per intercettare il traffico Internet del proprio laptop, sarebbe in grado di leggere le tue comunicazioni SSL / TLS.

    Dai un'occhiata a questo fornitore, ad esempio: https://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

    Per evitare ciò, non installare i loro certificati e utilizza invece una connessione OpenVPN su una porta che non stanno bloccando (prova 53, 80, 8080, 443 ecc.)

    Tom
    2019-01-10 15:39:30 UTC
    view on stackexchange narkive permalink

    Ci sono due ragioni:

    La ragione innocua è che le scuole stanno implementando l'autenticazione basata su certificati e hanno la propria PKI. I client hanno bisogno del certificato PKI-root per verificare i certificati del server che vengono presentati.

    Il motivo dannoso è l'intercettazione SSL. Con un certificato radice installato, i browser possono essere reindirizzati a un proxy, dove SSL viene intercettato e il contenuto ispezionato prima di essere nuovamente crittografato e inviato al server effettivo (o viceversa).

    Sfortunatamente, tu non posso averne uno senza l'altro. Un certificato radice è un certificato radice. La tua contromisura è di non utilizzare questo computer per cose sensibili, come servizi bancari online o messaggi privati.

    Puoi verificare se stanno eseguendo l'intercettazione SSL nel tuo browser web controllando le informazioni sul certificato nel tuo browser sul sito web che visiti e controllando chi ha emesso il certificato.Se sei su Facebook, controlli la catena di certificati e noti che il certificato "Facebook" è firmato dalla CA della tua scuola, sei osservato.Ma nota che questo è specifico solo per questa connessione.Potrebbero solo intercettare connessioni TLS specifiche mentre instradano gli altri normalmente.
    @Philipp inoltre non puoi mai essere sicuro che non hanno ascoltato ieri quando hai controllato, ma stanno ascoltando oggi.
    //, Per ulteriori informazioni sulle cause dannose (o semplicemente arroganti) per le quali un'organizzazione potrebbe farlo, controlla https://security.stackexchange.com/a/201288/78278.
    Filipe dos Santos
    2019-01-09 20:17:40 UTC
    view on stackexchange narkive permalink

    Puoi fare un parallelo con un'azienda. Perché un'azienda dovrebbe aver bisogno di installare certificati sui laptop dei dipendenti (o sui dispositivi personali)?

    Si tratta di autenticazione . Un certificato può essere utilizzato come credenziale per accedere a una risorsa protetta (portale scolastico / aziendale) senza la necessità di fornire una password. Conosciamo tutti gli svantaggi dell'utilizzo delle password, quindi ad ogni studente viene rilasciato un certificato (o un'altra credenziale) che lo identificherà quando accederà alle applicazioni web della scuola (principalmente).

    Nell'azienda per cui lavoro , prima di spostare la nostra infrastruttura di autenticazione a SAML 2.0, se volevamo (per comodità) accedere alle applicazioni web correlate all'azienda utilizzando i nostri dispositivi mobili personali, nel dispositivo veniva installato un certificato aziendale.

    Sono totalmente d'accordo con la risposta di cui sopra da Filipe.L'utilizzo dei certificati è il modo moderno per superare l'utilizzo delle password su più portali aziendali / organizzazioni.Questo aiuta anche dalla fuga di password tramite malware con utilità di keylogger.
    @CyberDude Se su un laptop è presente un malware che registra le chiavi, il malware potrebbe anche rubare facilmente i certificati;)
    @marcelm Questa dichiarazione si applica a ogni laptop / dispositivo che detiene un certificato.Non è un problema riguardante il requisito specifico della scuola di utilizzare i certificati.
    @marcelm Esistono moderne funzionalità del sistema operativo che lo impediscono.Ad esempio, Windows ha smart card virtuali basate su TPM che posizionano i certificati esclusivamente nel TPM e iOS / macOS ha chiavi basate su elementi protette simili.Windows Defender Credential Guard isola i segreti di dominio in una macchina virtuale separata all'esterno del sistema operativo.
    Questa risposta è un po 'ambigua in quanto non fa distinzione tra client e server e certificati radice.
    @jjmontes non ha senso per una scuola installare certificati root o server in un dispositivo personale ...
    Mason Wheeler
    2019-01-11 22:18:15 UTC
    view on stackexchange narkive permalink

    (Pubblicando questo come risposta su richiesta, e anche dal momento che il commento originale sembra essere stato ben accolto e non vorrei che fosse cancellato durante l'eliminazione di un commento.)

    In risposta a Lie Ryan sottolineando che ci sono due tipi fondamentali di certificati, certificati radice e certificati client, e che i certificati client vanno bene ma dovresti diffidare dei certificati radice personalizzati perché hanno un potenziale di abuso, ho aggiunto:

    Vorrei affermare quell'ultima riga un po 'più energicamente: un certificato radice che è sotto il controllo delle stesse persone che possiedono la rete utilizzata per connettersi a Internet dovrebbe essere considerato come uno spyware. Dovrebbe essere evitato se possibile, e se non è possibile, la macchina dovrebbe essere trattata come compromessa e utilizzata il meno possibile. Non c'è alcun motivo legittimo per chiederti di metterne uno sulla tua proprietà personale. Se la scuola vuole farlo, può fornire i laptop da sola.

    Un altro commentatore ha chiesto qual è il legame tra il potenziale di spionaggio e l'essere l'operatore della rete. Quindi, qualche ulteriore spiegazione:

    Ciò che un certificato radice significa è che il proprietario del certificato non solo certifica che il suo sito è legittimo, ma ha anche l'autorità per emettere altri certificati. Questo è il modo in cui funzionano le autorità di certificazione e l'intera infrastruttura di certificazione: installando il certificato di origine dichiari di fidarti del giudizio della CA e la CA quindi certifica che i siti ordinari sono legittimi, cosa che accetti perché lo ha detto una CA affidabile / p>

    Il fatto è che non ci sono requisiti tecnici da nessuna parte in quel processo che coinvolgono l'input del proprietario del sito. È qui che entra in gioco la parte della fiducia; accettiamo, per fede, che abbiano autenticato il sito prima di emettere un certificato per esso, e le poche volte in cui una CA è stata scoperta in mancanza di farlo, la retribuzione da Internet è stata rapida e decisiva, portando conseguenze fino al CA fallisce per aver tradito la fiducia essenzialmente del mondo intero.

    Ma se la tua attività principale non è una CA, ciò cambia il calcolo. Se gestisci una rete e puoi emettere una CA root non autorizzata sui computer dei tuoi clienti, ottieni la possibilità di eseguire un attacco man-in-the-middle. Funziona in questo modo:

    • Il client passa a https://security.stackexchange.com
    • Il sistema MITM di rete finge di essere un client e decrittografa il contenuto
    • Network MITM ricrittografa il contenuto con il proprio certificato StackExchange fraudolento, emesso dalla CA radice della rete
    • Il browser del cliente riceve i dati, controlla la crittografia, vede che è utilizzando un certificato firmato da una CA radice attendibile, dice "non c'è niente di sbagliato in questa connessione" e lo mostra all'utente
    • L'utente non sa che la rete è potenzialmente in grado di leggere e modificare il proprio Traffico HTTPS

    Funzionerà solo sulla rete del proprietario del certificato perché altre reti che non hanno un certificato radice installato sulla tua macchina non serviranno certificati di siti fasulli.



    Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
    Loading...