Pokouším se připojit k síti Wi-Fi Eduroam pomocí mé nové Zařízení Android. Požádá mě o poskytnutí certifikátu CA a varuje, že jinak by mé připojení nebylo soukromé.
Nebyl zadán žádný certifikát. Vaše připojení nebude soukromé.
Na mém předchozím zařízení jsem takové varovné hlášení neměl. Správce IT říká, že je v pořádku neposkytnout certifikát, ale nejsem si tím tak jistý. Řekl, že to naše organizace nemá.
Jakým hrozbám jsem vystaven, pokud používám tuto síť bez certifikátu CA?
Stojí to organizace za získání?
Komentáře
- Existuje jiné řešení než použití vpn?
- Na univerzitě mám stejný problém. Ve skutečnosti mají certifikát, ale Android 8+ jej ' nenačte automaticky. Windows 10 bude a můžete dokonce ověřit jeho otisk palce. Tento problém jsem vyřešil přenesením certifikátu, který byl načten v systému Windows 10, na můj Android (samozřejmě se musíte dostat na jinou wifi nebo datovou síť). Není to snadné, ale fungovalo to.
- Související: android.stackexchange.com/questions/197261/…
- Toto je překvapivě velmi častá rada
odpověď
Bez platného certifikátu neexistuje žádný způsob, jak ověřit, že vlastníkem této sítě je ten, za koho se vydává.
Zadruhé, tyto certifikáty se používají k šifrování klientského zařízení s cílem, takže zde můžete být zranitelní vůči útoku MITM.
Organizace musí platit za registraci autoritu k distribuci certifikátu – podle mých zkušeností hodně velmi malých organizací, které hostují veřejné WiFi, to považuje za zbytečné náklady.
Vaše použitelnost sítě nebude ovlivněna, ale nepřipojil bych se k neověřené veřejné WiFi, protože je triviální zachytit jakákoli data, která teče mezi vámi a AP: je to digitální ekvivalent neuzamykání veřejné koupelny d oor.
Komentáře
- Nebyla by ' t bezdrátová komunikace stále šifrována pomocí WPA2? Myslel jsem, že certifikačním požadavkem CA bylo ověřit přihlašovací údaje v tomto kroku.
- Počáteční handshake WPA2 bude vyžadovat kontrolu certifikátu. Pokud neexistuje ', můžete to ručně obejít a souhlasit s připojením, ale pak se možná připojujete k nepoctivému AP (i když možná používá WPA2, ale váš cíl ' není to, co jste očekávali).
- Myslím, že jedním logickým krokem, který vám ' chybí, je nepoctivý AP nemůže provádět kontrolu zadaného uživatelského jména / hesla a stačí říct " Vypadá to dobře;) " a nechat se připojit, poté se spustí snooping na vašem provozu a / nebo pokus o prolomení hesla pro skutečnou síť.
- Ano, myslel jsem spíše na šifrování signálu, ne na data později, ale je to velmi platný problém.
- Předpokládám, že používání VPN v takové síti snižuje riziko odcizení mých dat, protože potenciální útočník MITM by nanejvýš viděl, že se připojuji ke své adrese VPN?