web-dev-qa-db-ja.com

私の学校のwifiはIphoneの証明書を「信頼する」ように要求しますが、これにより、SSLトラフィックを表示できますか?

ここでこれについては多くの混乱があるので、私はそれを正しく理解するためにこの投稿を作成しています。私の学校はArubaネットワークのwifiを使用しており、Active Directoryのユーザー名とパスワード(RADIUS認証)を入力すると、DigiCert SHA2 Highが発行した 'wifiaruba.myschoolname.com'(組織:My School)からの証明書を信頼する必要があることを通知します保証サーバーCA(発行者名、少なくともそれが証明書に書かれていることです)。信頼をクリックすると消えます。私の電話は、デフォルトではこれを信頼していません。これは理論的に私の学校がSSL通信を復号化できるためですか?それが本当にDigiCertからのものである場合、私の電話は確かにそれを信頼しますか?

14
BusinessGuy

大丈夫です。インストールして信頼した証明書を使用して、RADIUSサーバーに対して安全な認証を提供し、不正なRADIUSサーバーに接続するのを防ぎます。誰かが盗むことにした場合不正なRADIUSサーバーをインストールしてActive Directoryの資格情報を取得すると、電話にポップアップが表示され、RADIUS証明書が信頼されていません。

この証明書を信頼することで、他に何のリスクもありません。学校では、この証明書を使用してSSLトラフィックを読み取ったり、SSLトラフィックをMITMしたりすることはできません。あなたの質問で私が読んだことから、あなたの学校はそれを正しく行い、あなたの安全を気遣っています。


これはSSLコンテキストでは問題ではありません。アドレスバーにWebサイト名を手動で入力するため、予期される証明書の種類がわかっているためです。 wi-fiでは、接続しているAPがわからないため、それが正当であることを確認するために、APはRADIUS証明書を明示的に信頼する必要があります。

18
Crypt32

私の電話はデフォルトではこれを信頼していません。これは理論的に私の学校がSSL通信を解読できるためですか?

あなたの説明に基づいてそれはしません。

それが本当にDigiCertからのものである場合、私の電話は確かにそれを信頼するでしょうか?

問題は、ワイヤレスネットワークに認証する前は、実際にはネットワークに接続されておらず、他のホストに到達できないことです。デバイスが認証を試みると、電話のEAPサプリカントは認証サーバーとのみ通信します。

802.11ワイヤレスで使用されるほとんどのEAP方式では、サーバーは証明書をEAPサプリカントに提示し、サプリカントは資格情報(ユーザー名/パスワード)をサーバーに返すかどうかを決定する必要があります。デバイスがまだネットワークに接続されていないため、EAPサプリカントは限られた知識で動作しています。

少なくとも、証明書の検証が無効になっていない限り、EAPサプリカントは、証明書が信頼できるCAから発行された有効な証明書であり、証明書に記載されているホスト名が認証サーバーのホスト名と一致することを確認します。

一部のEAPサプリカントでは、オプションで、指定されたCAを証明書の発行者(つまりThawteまたはDigicertからのみ)および/または認証サーバーの特定のホスト名として構成することもできます。多くのモバイルデバイス(電話、タブレットなど)には、これらのオプションはありません。

これらのオプションや他の種類のチェックを使用しない場合、電話機は、一致するホスト名で有効な証明書を提供する認証サーバーを自動的に受け入れます。これにより、攻撃者が学校のワイヤレスネットワークになりすまして、独自の「認証サーバー」で資格情報を取得することが容易になります。証明書を受け入れるように求めるプロンプトは、認証サーバーへの資格情報の送信を承認または拒否する機会です。

証明書を初めて受け入れた後は、電話機に別の証明書が提示された場合(またはワイヤレスプロファイルを削除して再度追加した場合)にのみプロンプトが再度表示されます。一部の学校では複数の認証サーバーを使用するため、これが何度も見られることも珍しくありません。ただし、疑わしい証明書( "arubuwifi.jimbobscomputers.com"など)を見つけた場合は、受け入れないでください。

3
YLearn