Jag försöker ansluta till ett Wi-Fi-nätverk, Eduroam, med min nya Android-enhet. Det ber mig att tillhandahålla CA-certifikatet och varnar för att annars skulle min anslutning inte vara privat.
Inget certifikat specificerat. Din anslutning är inte privat.
På min tidigare enhet hade jag inget sådant varningsmeddelande. IT-administratören säger att det är OK att inte tillhandahålla certifikatet, men jag är inte så säker på det. Han sa att vår organisation inte har det.
Vilka hot utsätts jag för om jag använder detta nätverk utan CA-certifikat?
Kostar det för en organisation att få det?
Kommentarer
- Finns det någon annan lösning än att använda en vpn?
- Jag har samma problem på mitt universitet. De har faktiskt ett certifikat, men Android 8+ laddar inte ' det automatiskt. Windows 10 kommer, och du kan till och med verifiera dess tumavtryck. Jag arbetade kring detta problem genom att överföra certifikatet som laddades på Windows 10 till min Android (du måste naturligtvis komma till ett annat wifi- eller datanätverk). Inte lätt, men det fungerade.
- Relaterat: android.stackexchange.com/questions/197261/…
- Detta är förvånansvärt mycket vanligt råd
Svar
Utan ett giltigt certifikat finns det faktiskt inget sätt att verifiera att ägaren till det nätverket är den som de säger att de är.
För det andra, dessa certifikat används för att kryptera klientenheten med destinationen så att du kan vara sårbar för en MITM-attack här.
Organisationen behöver betala för en registrantmyndighet att distribuera ett certifikat – enligt min erfarenhet mycket av mycket små organisationer som är värd för offentligt WiFi ser detta som en onödig kostnad.
Din användbarhet i nätverket påverkas inte men jag skulle inte ansluta till en obekräftad, offentlig WiFi eftersom det är trivialt att fånga upp all data som flyter mellan dig och AP: det är det digitala ekvivalenten att inte låsa ett offentligt badrum d golv.
Kommentarer
- Skulle ' inte den trådlösa kommunikationen fortfarande krypteras med WPA2? Jag trodde att CA-certifikatkravet var att validera autentiseringsuppgifterna i det här steget.
- Den första handskakningen av WPA2 kräver en kontroll av certifikatet. Om det inte finns ', kan du kringgå detta manuellt och gå med på att ansluta, men du kan då ansluta till en oseriös AP (om än, som kanske använder WPA2 men din destination ' är inte vad du förväntade dig.
- Ett logiskt steg jag tror att du ' saknas är att en skurk AP kan inte utföra någon kontroll av det angivna användarnamnet / lösenordet och bara säga " Verkar rätt;) " och låta dig ansluta, varefter de startar snooping på din trafik och / eller försöker knäcka lösenordet för det riktiga nätverket.
- Ja, jag tänkte mer bara krypteringen av signalen, inte data efteråt, men det är ett mycket giltigt problem.
- Jag antar att användning av VPN i ett sådant nätverk minskar risken för att mina data blir stulna, eftersom en potentiell MITM-angripare högst skulle se att jag ansluter till min VPN-adress?