Jeg prøver at oprette forbindelse til et Wi-Fi-netværk, Eduroam, ved hjælp af min nye Android-enhed. Det beder mig om at give CA-certifikatet og advarer om, at min forbindelse ellers ikke ville være privat.
Intet certifikat er angivet. Din forbindelse vil ikke være privat.
På min tidligere enhed havde jeg ikke en sådan advarselsmeddelelse. IT-administratoren siger, at det er OK ikke at give certifikatet, men jeg er ikke så sikker på det. Han sagde, at vores organisation ikke har det.
Hvilke trusler udsættes jeg for, hvis jeg bruger dette netværk uden CA-certifikat?
koster det for en organisation at få det?
Kommentarer
- Er der nogen anden løsning end at bruge en vpn?
- Jeg har det samme problem på mit universitet. De har faktisk et certifikat, men Android 8+ ' t indlæser det automatisk. Windows 10 vil, og du kan endda verificere dens tommelfingre. Jeg arbejdede omkring dette problem ved at overføre certifikatet, der blev indlæst på Windows 10 til min Android (du skal selvfølgelig komme ind på et andet wifi- eller datanetværk). Ikke let, men det fungerede.
- Relateret: android.stackexchange.com/questions/197261/…
- Dette er overraskende meget almindelig rådgivning
Svar
Uden et gyldigt certifikat på plads er der faktisk ingen måde at kontrollere, at ejeren af det netværk er, som de siger, de er.
For det andet disse certifikater bruges til at kryptere klientenheden med destinationen, så du kan være sårbar over for et MITM-angreb her.
Organisationen skal betale for en registrantmyndighed for at distribuere et certifikat – efter min erfaring meget af meget små organisationer, der er vært for offentlig WiFi, ser dette som en unødvendig pris.
Din brugbarhed af netværket påvirkes ikke, men jeg vil ikke oprette forbindelse til en ubekræftet, offentlig WiFi, da det er trivielt at opfange alle data, der flyder mellem dig og AP: det er den digitale ækvivalent ved ikke at låse et offentligt badeværelse d oor.
Kommentarer
- Ville ' ikke den trådløse kommunikation stadig være krypteret ved hjælp af WPA2? Jeg troede, at CA-certifikatkravet var at validere legitimationsoplysningerne på dette trin.
- Det første håndtryk af WPA2 kræver en kontrol af certifikatet. Hvis der ikke er ' t, kan du omgå dette manuelt og acceptere at oprette forbindelse, men du kan muligvis oprette forbindelse til en rogue AP (omend, som muligvis bruger WPA2 men din destination ' er ikke, hvad du forventede).
- Et logisk skridt, jeg tror, du ' mangler er, at en skurk AP kan ikke foretage nogen kontrol af det angivne brugernavn / adgangskode og bare sige " Synes rigtigt;) " og lade dig oprette forbindelse, hvorefter de starter snyder på din trafik og / eller forsøger at knække adgangskoden til det rigtige netværk.
- Ja, jeg tænkte mere bare på kryptering af signalet, ikke dataene bagefter, men det er en meget gyldig bekymring.
- Jeg antager, at brug af VPN på et sådant netværk reducerer risikoen for, at mine data bliver stjålet, fordi en potentiel MITM-angriber højst ville se, at jeg opretter forbindelse til min VPN-adresse?