Android xử lý các CA gốc như thế nào? Họ có nên là một mối quan tâm an ninh?

Trường đại học của tôi yêu cầu tôi cài đặt một CA gốc tùy chỉnh để kết nối với mạng wifi của họ. Khi tôi cài đặt nó trên điện thoại, nó cho phép tôi chỉ định "Wifi" hoặc "VPN và ứng dụng". Tôi đã chọn wifi và có thể kết nối thành công.

Tuy nhiên, tôi lo ngại về tính bảo mật của chứng chỉ này. Tôi không biết ai chịu trách nhiệm cho việc đó tại trường đại học của tôi và liệu đó có phải là một nhóm sinh viên tình nguyện không biết họ đang làm gì không.

Khi tôi chọn tùy chọn "Wifi", điều đó có nghĩa là CA sẽ chỉ được sử dụng để xác thực với mạng wifi chứ không phải cho bất cứ điều gì khác? Vì vậy, nếu khóa riêng bị rò rỉ và ai đó cố gắng tạo trang web lừa đảo bằng HTTP để nhắm mục tiêu đến sinh viên, liệu Chrome / bất kỳ trình duyệt nào tôi đã cài đặt có chấp nhận chứng chỉ HTTP cho trang web được ký bởi CA tôi đã cài đặt cho wifi không?

Tôi đang dùng Android 7.1.1

Một cơ quan chứng nhận ký chứng chỉ kỹ thuật số. Thông thường, các công ty sẽ trả cho một CA đáng tin cậy quốc tế như VeriSign hoặc DigiCert để ký chứng chỉ trên tên miền của chính họ.

Trong một số trường hợp, có thể có ý nghĩa hơn khi đóng vai trò là CA của chính bạn, thay vì trả một CA như DigiCert. Trường đại học của bạn đang làm chính xác điều đó, tức là sử dụng cơ quan cấp chứng chỉ của riêng họ.

Điều đầu tiên cần hiểu là CA gốc mà bạn đã cài đặt không phải là khóa riêng mà là khóa chung. Hãy xem chứng chỉ của bạn trên trình duyệt bạn đang sử dụng và nhìn vào tab chính quyền, bạn sẽ thấy cả đống CA gốc như VeriSign.

Vì vậy, hãy nói rằng trường đại học của bạn có một trang web thông tin trường đại học.edu. Nếu không cài đặt CA gốc vào thiết bị của bạn nếu bạn truy cập trang web, bạn sẽ thấy một cảnh báo lỗi rằng trang web không đáng tin cậy. Sau khi cài đặt CA gốc, trang web sẽ hiển thị an toàn vì nó đang xác minh rằng nó hợp lệ khi sử dụng khóa chung trên thiết bị của bạn. Máy chủ web unversity.edu sẽ có khóa riêng tương quan với khóa chung mà bạn có. Vì vậy, khi bạn truy cập trang web, nó sẽ xác minh đó là một trang hợp lệ.

Về bản chất có CA gốc không phải là vấn đề. Khóa duy nhất có khả năng gây ra sự cố lớn nếu thỏa hiệp là khóa riêng CA gốc. Thông thường CA được thiết lập với CA gốc và sau đó là CA trung gian. Khóa gốc được giữ ngoại tuyến để không bị xâm phạm. Theo cách đó, nếu khóa riêng được sử dụng để ký các yêu cầu Chứng chỉ trên CA trung gian bị xâm phạm, khóa riêng mới sẽ được tạo bằng khóa Riêng gốc. Điều này sẽ yêu cầu cấp lại khóa cho tất cả các máy chủ được xác minh, nhưng không bảo vệ môi trường.

Hi vọng điêu nay co ich.

Hãy xem tài liệu này để thiết lập cơ quan cấp chứng chỉ để hiểu chi tiết hơn về cách thức hoạt động của cơ quan cấp chứng chỉ.

https://jamielinux.com/docs/openssl-cert ve- Authority / int sinhtion.html

Tôi thấy câu trả lời khác ở đây rất sai lệch.

Cài đặt CA gốc là một rủi ro lớn. Điều đó có nghĩa là gần như tất cả lưu lượng truy cập mạng của bạn có thể bị chặn (điều này có thể dẫn đến các vấn đề lớn hơn).

Nhưng, tôi không chắc đây là trường hợp. Tôi nghĩ rằng bạn đã không cài đặt CA gốc đáng tin cậy, nhưng thay vào đó chỉ là CA "Xác thực máy chủ" để khách hàng (điện thoại của bạn) có thể xác minh máy chủ RADIUS được sử dụng để xác thực thông tin đăng nhập của bạn với WPA2-Enterprise Wi- Fi.

Điều này khá phổ biến trong các trường đại học.

Điều đó có nghĩa là trường đại học của bạn không thể ký bất kỳ chứng chỉ nào cho bất kỳ tên miền nào ngoài máy chủ được chỉ định.

Mặc dù điều này không chắc chắn. Nếu bạn có thể cập nhật câu hỏi của mình với một vài ảnh chụp màn hình của yêu cầu bạn nhận được - tôi có thể nói một cách chắc chắn.