web-dev-qa-db-ja.com

なぜ学校は学生のラップトップに証明書をインストールする必要があるのですか?

この質問は、保護者が学校でソフトウェアと証明書をインストールするためにラップトップを購入することを示しています。site certificatesをインストールする理由を理解しようとしています:

  1. サイト証明書がインストールされるのはなぜですか?
  2. 診療に関する問題の可能性は何ですか?

証明書の正当な(建設的な)理由と誤用/乱用の可能性の両方を理解しようとしています。スレッドから、学校が何らかの方法で証明書を使用してトラフィックを復号化する方法は不明です。

certificates
65
gatorback

マシンにインストールできる証明書には、次の2種類があります。

  1. 証明書の最初のタイプはルート認証局です。ルート証明書には、認証局の公開鍵のみが含まれています。ルート証明書は、マシンにインストールされているトラストアンカーであり、マシンが接続する「信頼できる」サイトを識別できるようにし、認証局は、「XはドメインYの所有者」というサーバー証明書の形式で要求を発行できます。お使いのマシンはルート認証局を信頼しているため、その主張を信頼します。学校/会社がルート証明書をマシンにインストールする場合、あなたのマシンは学校/会社のサーバーへの接続がそれが正当であると考えて信頼します。ルート証明書をインストールした場合、学校/会社は、ブラウザ証明書エラー/警告をトリガーすることなく、ネットワークを介して実行するマシンによって作成されたSSL/TLS接続を傍受できます

  2. 2番目のタイプの証明書はクライアント証明書です。クライアント証明書には、あなたに固有の秘密鍵と、学校/会社の認証局によって署名された証明書が含まれています。クライアント証明書は、マシンが学校のインフラストラクチャに対して認証するために使用され、接続しているのは自分であることを証明します。クライアント証明書は、パスワードを覚えておく必要があるよりも、認証資格情報の本質的に優れたソリューションとして使用されます。学校/会社がクライアントの証明書を使用して、コンピューターが学校/会社が所有していないサーバーに行った接続を盗聴することはできません。

クライアント証明書はインストールしても問題なく、セキュリティ上の問題は発生しません。対照的に、ルート証明書は簡単に悪用される可能性があるので、ルート証明書をインストールする場合は注意が必要です。

112
Lie Ryan

少なくとも、正当なユースケースがあります。大規模な組織や大学では、プライベートPKIを実行するのが一般的です。つまり、(安全な)ルート証明書があり、さまざまな証明書の署名に使用されます。

また、そのプライベートPKIを使用して、公的に使用することを目的としていないHTTPSサーバーに署名することも一般的です。唯一の要件は、(内部)クライアントがすべてプライベートルート証明書を宣言することです。

リスクは、HTTPS接続に対するMITM攻撃です。実際、セキュリティ管理者によって機能として提示されることがよくあります。それらの多くは、詳細に検査できない場合(*)、安全な環境からのHTTPS接続を許可しません。つまり、内部ネットワークから専用プロキシを介してHTTPSを使用すると、すべてのログを記録できます。唯一のルールは、ユーザーに警告することです。それは本当にプライベートなもので、内部ネットワークから行われるべきではありません。

フィルタリングプロキシを通じて大規模な組織で強力な周辺セキュリティを使用することは一般的です。これらのプロキシは、ピアとトラフィックの種類を分析して、さまざまな攻撃と感染を防止します。しかし、HTTPSが暗号化されているため、MITM攻撃がアクティブでない限り、プロキシは実際に何が交換されるかを知ることができません。

22
Serge Ballesta

学生のシステムのブラウザーが証明書インストールの信頼されたルートに学校の証明書を持っている場合(ブラウザーによっては、この証明書はシステムの証明書バンドルまたはブラウザーの証明書である必要がある場合があります)、トラフィックがインターセプトプロキシ(など)を経由している場合学校のwifiを介して)、学校は秘密鍵でトラフィックを復号化できます。したがって、Webサイトへの接続はエンドツーエンドで安全ではありませんが、プロキシはWebサイト自体への安全な接続を再確立し、少なくとも転送中のデータを安全に保つことができます。これらのデバイスはSSL-Decrypters(実際にはTLS/SSLですが)とも呼ばれ、私がこれまでに取り組んだほとんどすべての組織では、これらをある程度の能力で使用しています(私は侵入テスターであり、多くの銀行で働いています)。

これを実行する理由はいくつかありますが、ほとんどのインストールは、潜在的なセキュリティインシデント(ネットワーク上のマルウェア)をより簡単に特定したり、不適切な使用を検出したりするためにユーザーをスヌープしたい企業に集約されます。

私はそれらのコンピューターで私がしたことの1回半は学校の子供でしたが、学校が違法なタスクのためにシステム(自分のシステムでさえも)を使用する子供たちの問題に取り組む方法を解決できれば、それは良いことです私の本。私はプライバシーを大いに支持していますが、プロキシ経由でインターネットに接続している場合にのみ、学校はこれらの復号化機能を利用できます。したがって、信頼しておらず、所有していないネットワークに接続している場合、自分でプロビジョニングしていないシステムでは、他の誰かのルールに従っている(そして同意している)ことになります。

9
hiburn8

2つの理由があります。

無害の理由は、学校が証明書ベースの認証を実装しており、独自のPKIを持っているためです。クライアントは、提示されたサーバー証明書を検証するためにPKIルート証明書を必要とします。

maliciousの理由はSSLインターセプトです。ルート証明書をインストールすると、ブラウザをプロキシにリダイレクトできます。SSLが傍受され、コンテンツが検査されてから、再暗号化されて実際のサーバーに送信されます(またはその逆)。

残念ながら、もう1つがなければ1つを入手することはできません。ルート証明書はルート証明書です。あなたの対策は、オンラインバンキングやプライベートメッセージングなどの機密事項にこのコンピューターを使用しないことです。

6
Tom

これは「サイト認証」の意味によって異なりますが、この回答はルート認証局の場合のものです。

ほとんどの学校-少なくとも英国では-他の国については知りません。何らかの形でWebフィルタリングを使用してください。これには通常、Webトラフィックを傍受し、ページのコンテンツを検査するファイアウォール/プロキシが含まれます。

ただし、HTTPSはユーザーのコンピューターとWebサイト間のエンドツーエンドの暗号化を提供します。その結果、HTTPS Webサイトに接続すると、すべてのプロキシが宛先IPアドレスを確認できますが、Webページのコンテンツに関する情報はありません。

すべてのHTTPトラフィックを単にブロックすることは実用的ではないため、代わりにフィルタリングシステムを維持するには、ファイアウォール/プロキシで暗号化を終了することにより、学校がエンドツーエンドの暗号化モデルを破る必要があります。次に、接続をユーザーに渡しますが、独自の証明書を使用する必要があります。この設定により、ユーザーのコンピューターとWebサイト間のすべての通信を読み取ることができます。 (中間者攻撃)

HTTPs証明書は、これが悪意で発生するのを防ぐために使用されます-提示された証明書は(Verisignなどの信頼できる認証局ではなく)学校のファイアウォール/プロキシによって署名されているため、ラップトップのソフトウェアは接続を信頼しません(セキュリティ警告/エラーが表示されます)ブラウザのメッセージ)。ただし、学校の証明書を信頼されたルート証明機関としてインストールすると、接続は代わりに信頼され、ブラウザは通常どおり機能します。

この結果、ラップトップからのHTTPS通信が傍受され、学校によって読み取られる可能性があります(ブラウザで保護されているように見えても)。

より一般的には、学校の証明書と秘密鍵へのアクセス権を持ち、ラップトップのインターネットトラフィックを傍受するための物理的なアクセス権を持つすべての人が、SSL/TLS通信を読み取ることができます。

たとえば、このベンダーを見てください: https://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

これを回避するには、証明書をインストールせず、代わりに、ブロックしていないポートを介してOpenVPN接続を使用します(53、80、8080、443などを試してください)。

6
jacob_pro

(これを要求による回答として投稿します。また、元のコメントは好評だったため、コメントの削除で削除されたくありません。)

証明書にはルート証明書とクライアント証明書の2つの基本タイプがあり、クライアント証明書は問題ありませんが、カスタムルート証明書は悪用される可能性があるので注意する必要があるというLie Ryanの指摘に応えて、次のように付け加えました。

私は最後の行をもう少し強く述べます:インターネットに接続するために使用されるネットワークを所有する同じ人々の制御下にあるルート証明書はスパイウェアと見なされるべきです可能な限り回避する必要があり、それが不可能な場合は、マシンを危険にさらしたものとして扱い、できるだけ使用しないでください。自分の所有物に置くことを要求する正当な理由はありません。学校が希望する場合は、ノートパソコンを自分で用意できます。

別のコメンターは、スパイの可能性とネットワークの運営者との間のリンクは何かと尋ねました。したがって、さらに説明する:

ルート証明書の意味は、証明書の所有者がそのサイトが正当であることを証明するだけでなく、他の証明書を発行する権限も持っているということです。これが認証局と証明書インフラストラクチャ全体の仕組みです。ルート証明書をインストールすることで、CAの判断を信頼していると言い、CAは通常のサイトが正当であることを証明します。

問題は、サイトの所有者からの入力を含むそのプロセスのどこにも技術的な要件がないことです。これが信頼の部分です。証明書を発行する前にサイトを認証したことを確信しており、CAが認証に失敗したことが何度かあった場合、インターネットからの報復はSwift and本質的に全世界の信頼を裏切るためにCAが廃業することを含む決定的な結果をもたらします。

しかし、もしあなたの主なビジネスがCAでなければ、それは計算を変えます。ネットワークを実行していて、クライアントのコンピューターで不正なルートCAを発行できる場合は、中間者攻撃を実行することができます。それはこのように動作します:

  • クライアントは https://security.stackexchange.com に移動します
  • ネットワークMITMシステムがクライアントのふりをしてコンテンツを復号化する
  • ネットワークMITMは、ネットワークのルートCAによって発行された独自の不正なStackExchange証明書でコンテンツを再暗号化します
  • クライアントのブラウザはデータを受信し、暗号化をチェックし、信頼されたルートCAによって署名された証明書を使用していることを確認し、「この接続に問題はありません」と言ってユーザーに表示します。
  • ユーザーは、ネットワークが自分のHTTPSトラフィックの読み取りと変更の両方が可能であることを認識していません

マシンにルート証明書がインストールされていない他のネットワークは、偽のサイト証明書を提供しないため、これは証明書所有者のネットワークでのみ機能します。

4
Mason Wheeler

あなたは会社と平行することができます。企業が従業員のラップトップ(または個人用デバイス)に証明書をインストールする必要があるのはなぜですか?

authenticationになります。証明書を資格情報として使用して、パスワードを入力しなくても安全なリソース(学校/会社のポータル)にアクセスできます。私たちは皆、パスワードを使用することの欠点を知っています。したがって、証明書(または別の資格)が各学生に発行され、学校のWebアプリケーションにアクセスするときに(ほとんど)学生を識別します。

私が働いている会社では、認証インフラストラクチャをSAML 2.0に移行する前に、個人のモバイルデバイスを使用してエンタープライズ関連のWebアプリケーションに(便宜上)アクセスしたい場合は、会社の証明書をデバイスにインストールしました。

4
Filipe dos Santos