Wie geht Android mit WLAN-Stammzertifizierungsstellen um? Sollten sie ein Sicherheitsbedenken sein?

7

An meiner Universität muss ich eine benutzerdefinierte Stammzertifizierungsstelle installieren, um eine Verbindung zu ihrem WLAN-Netzwerk herzustellen. Wenn ich es auf meinem Telefon installiert habe, konnte ich "Wifi" oder "VPN und Apps" angeben. Ich entschied mich für WLAN und konnte mich erfolgreich verbinden.

Ich bin jedoch besorgt über die Sicherheit dieses Zertifikats. Ich weiß nicht, wer an meiner Universität dafür verantwortlich ist und ob es sich um eine Gruppe freiwilliger Studenten handelt, die nicht wissen, was sie tun.

Wenn ich die Option "Wifi" gewählt habe, bedeutet dies, dass die Zertifizierungsstelle nur zur Authentifizierung beim Wifi-Netzwerk und nicht für andere Zwecke verwendet wird? Wenn also der private Schlüssel durchgesickert ist und jemand versucht, eine Phishing-Site mithilfe von HTTPs zu erstellen, um Schüler anzusprechen, würde Chrome / welcher Browser, den ich installiert habe, ein HTTPs-Zertifikat für eine Site akzeptieren, die von der von mir für WLAN installierten Zertifizierungsstelle signiert wurde?

Ich bin auf Android 7.1.1

Alejandro Ramallo
quelle
1
Ich bin neugierig: Schauen Sie sich die Zertifizierungskette auf etwas Einfachem wie Google.com an. Wenn Sie sich sehr von meinen unterscheiden, wäre ich besorgt: imgur.com/a/s7pLV
Tim G
Oh, eine Einschränkung, wenn Ihre CA-Kette wie meine aussieht, heißt das nicht, dass alles in Ordnung ist, aber hier würde ich zuerst nachsehen. Wenn es anders ist, würde ich etwas wie Bluecoat erwarten, das auf einen Mann in der Mitte hinweist.
Tim G

Antworten:

1

Eine Zertifizierungsstelle signiert digitale Zertifikate. Oft zahlen Unternehmen eine international vertrauenswürdige Zertifizierungsstelle wie VeriSign oder DigiCert, um Zertifikate auf ihrer eigenen Domain zu signieren.

In einigen Fällen kann es sinnvoller sein, als eigene Zertifizierungsstelle zu fungieren, als eine Zertifizierungsstelle wie DigiCert zu bezahlen. Ihre Universität tut genau das, dh sie verwendet ihre eigene Zertifizierungsstelle.

Als Erstes müssen Sie verstehen, dass die von Ihnen installierte Stammzertifizierungsstelle kein privater, sondern ein öffentlicher Schlüssel ist. Sehen Sie sich Ihre Zertifikate in dem von Ihnen verwendeten Browser an und sehen Sie sich die Registerkarte "Behörden" an. Sie werden eine ganze Reihe von Stammzertifizierungsstellen wie VeriSign sehen.

Nehmen wir also an, Ihre Universität hat eine Informationswebseite university.edu. Wenn Sie die Stammzertifizierungsstelle nicht auf Ihrem Gerät installieren, wird beim Aufrufen der Webseite ein Fehler angezeigt, der Sie darauf hinweist, dass die Site nicht vertrauenswürdig ist. Nach der Installation der Stammzertifizierungsstelle wird die Site als sicher angezeigt, da überprüft wird, ob sie mit dem öffentlichen Schlüssel auf Ihrem Gerät gültig ist. Der Webserver unversity.edu verfügt über einen privaten Schlüssel, der mit Ihrem öffentlichen Schlüssel korreliert. Wenn Sie also auf die Webseite zugreifen, wird überprüft, ob es sich um eine gültige Website handelt.

Im Wesentlichen ist es kein Problem, die Stammzertifizierungsstelle zu haben. Der einzige Schlüssel, der bei Kompromissen möglicherweise zu größeren Problemen führen kann, ist der private Schlüssel der Stammzertifizierungsstelle. In der Regel werden Zertifizierungsstellen mit einer Stammzertifizierungsstelle und einer Zwischenzertifizierungsstelle eingerichtet. Der Stammschlüssel wird offline gehalten, damit er nicht kompromittiert werden kann. Auf diese Weise wird ein neuer privater Schlüssel mithilfe des privaten Stammschlüssels generiert, wenn der private Schlüssel, der zum Signieren von Zertifikatanforderungen auf der Zwischenzertifizierungsstelle verwendet wird, gefährdet ist. Dies würde die Neuausgabe von Schlüsseln für alle überprüften Server erfordern, schützt jedoch die Umgebung.

Hoffe das hilft.

In dieser Dokumentation zum Einrichten einer Zertifizierungsstelle finden Sie detailliertere Informationen zur Funktionsweise einer Zertifizierungsstelle.

https://jamielinux.com/docs/openssl-certificate-authority/introduction.html

Tim R.
quelle
0

Ich finde die andere Antwort hier sehr irreführend.

Die Installation einer Stammzertifizierungsstelle ist ein RIESIGES Risiko. Das bedeutet, dass fast der gesamte Netzwerkverkehr abgefangen werden kann (was zu größeren Problemen führen kann).

Aber ich bin nicht sicher , dass dies der Fall ist. Ich denke, Sie haben keine vertrauenswürdige Stammzertifizierungsstelle installiert, sondern nur eine Zertifizierungsstelle "Serverauthentifizierung", damit Ihr Client (Ihr Telefon) den RADIUS-Server überprüfen kann, der zur Authentifizierung Ihrer Anmeldeinformationen bei WPA2-Enterprise Wi verwendet wird. Fi.

Dies ist an Universitäten durchaus üblich.

Das bedeutet, dass Ihre Universität kein Zertifikat für eine andere Domain als den angegebenen Server signieren kann.

Dies ist jedoch nicht sicher. Wenn Sie Ihre Frage mit ein paar Screenshots der Anfrage aktualisieren könnten, kann ich mit Sicherheit sagen.

0xAsker
quelle