Încerc să mă conectez la o rețea Wi-Fi, Eduroam, folosind noul meu Dispozitiv Android. Îmi cere să furnizez certificatul CA și avertizează că altfel conexiunea mea nu ar fi privată.
Nu este specificat niciun certificat. Conexiunea dvs. nu va fi privată.
Pe dispozitivul meu anterior, nu am primit un astfel de mesaj de avertizare. Administratorul IT spune că este OK să nu furnizez certificatul, dar nu sunt atât de sigur în legătură cu acesta. El a spus că organizația noastră nu o are.
La ce amenințări sunt expus, dacă folosesc această rețea fără certificat CA?
Costă o organizație să o obțină?
Comentarii
- Există vreo altă soluție în afară de utilizarea unui vpn?
- Am aceeași problemă la universitatea mea. De fapt, nu au un certificat, dar Android 8+ nu îl încarcă automat ' Windows 10 va funcționa și îi puteți verifica chiar amprenta. Am rezolvat această problemă transferând certificatul care a fost încărcat pe Windows 10 pe Android-ul meu (trebuie să intrați pe o altă rețea wifi sau de date, desigur). Nu este ușor, dar a funcționat.
- În legătură: android.stackexchange.com/questions/197261/…
- Acesta este în mod surprinzător sfat foarte comun
Răspuns
Fără un certificat valid, nu există nici o modalitate de a verifica dacă proprietarul acelei rețele este cine se spune că este.
În al doilea rând, aceste certificate sunt folosite pentru a cripta dispozitivul client cu destinația, astfel încât să puteți fi vulnerabil la un atac MITM aici.
Organizația trebuie să plătească pentru ca o autoritate înregistrată să distribuie un certificat – din experiența mea foarte mult de organizații foarte mici care găzduiesc WiFi public consideră acest lucru ca fiind un cost inutil.
Utilizarea rețelei nu va fi afectată, dar nu m-aș conecta la un WiFi public neverificat, deoarece este banal să interceptăm orice date care curg între dvs. și AP: este echivalentul digital de a nu bloca o baie publică d oor.
Comentarii
- ' nu ar mai fi criptată comunicația fără fir folosind WPA2? Am crezut că cerința certificatului CA era să valideze acreditările la acest pas.
- Strângerea de mână inițială a WPA2 va necesita o verificare a certificatului. Dacă nu există ' t, puteți ocoli acest lucru manual și puteți fi de acord să vă conectați, totuși este posibil să vă conectați la un AP necinstit (deși, care poate utiliza WPA2, dar destinația dvs. ' nu este ceea ce vă așteptați).
- Un pas logic cred că lipsești ' este că un AP necinstit nu poate efectua nicio verificare a numelui de utilizator / parolei furnizate și spuneți doar " Pare corect;) " și vă permite să vă conectați, după care încep detectând traficul dvs. și / sau încercând să spargeți parola pentru rețeaua reală.
- Da, mă gândeam mai degrabă doar la criptarea semnalului, nu la datele ulterioare, dar este o preocupare foarte valabilă.
- Presupun că utilizarea VPN pe o astfel de rețea reduce riscul ca datele mele să fie furate, deoarece un potențial atacator MITM ar vedea cel mult că mă conectez la adresa VPN?