¿Qué puede ver mi universidad instalando un certificado raíz de CA en mi computadora, incluso cuando estoy usando una VPN?

4

Para usar el wifi en mi universidad, debes instalar un certificado raíz de CA por ellos. En mi caso, estoy usando una computadora Mac con una VPN instalada.

Tengo curiosidad, ¿qué pueden hacerme ver en mi computadora al obligarme a instalar su certificado? ¿Pueden ver mi información de acceso a los sitios web? ¿Pueden ver qué sitios web visito, aunque esté usando una VPN? Si es así, ¿hay algo que pueda hacer para prevenir esto? No sé mucho acerca de los certificados, así que me llamó la atención.

También, usan el DNS 8.8.8.8 de Google y un par de DNS que comienzan con 208.

Gracias por cualquier información.

    
pregunta Mike 19.01.2015 - 21:59
fuente

2 respuestas

4

Por su descripción, parece que no ha instalado una nueva CA en absoluto; usted aceptó un certificado para autenticar la red inalámbrica, o aceptó una CA ya instalada para verificar los certificados para autenticar esa red. Esto no es un riesgo de seguridad; es bastante normal, no permite que la universidad firme sus propios certificados y no les permite hacerse pasar por sitios web. Todo lo que hace es verificar la identidad del servidor que procesa las credenciales que utilizó para iniciar sesión en la red inalámbrica.

Algunos antecedentes: muchas universidades utilizan la seguridad de WPA / WPA2 Enterprise, que implica iniciar sesión en la red wifi con su nombre de usuario y contraseña de la universidad (ingresados en el cliente wifi, no en un navegador web). En tales casos, el servidor de autenticación (llamado servidor RADIUS) necesita verificar su identidad, lo que hace con un certificado, al igual que para los sitios web.

Para los sitios web, una CA puede verificar un certificado para un dominio en particular. Sin embargo, no hay una buena manera de hacerlo para los servidores RADIUS; Puede que tenga un certificado legítimo para radius.cpast.com , pero eso no significa que deba confiar en mi servidor RADIUS cuando se conecte a SchoolWifi . Por lo tanto, es bastante común que se le solicite aceptar manualmente el certificado de la red inalámbrica. Esto no es un riesgo de seguridad; no está aceptando una CA controlada por la universidad, está aceptando un certificado particular para esa red wifi específica.

(Windows lo hace de forma un poco diferente: do acepta una CA (ya instalada) para la red inalámbrica, pero también recuerda el dominio del servidor RADIUS, por lo que se intenta ignorar radius.cpast.com para SchoolWifi no funcionaría porque Windows solo aceptaría certificados para radius.school.edu y de una CA particular que el usuario aceptó cuando se conectó por primera vez).

Por lo tanto, no es inusual obtener un aviso de certificado, y generalmente no es un riesgo de seguridad aceptarlo.

EDITAR: Con tus comentarios, es aún más claro que esto es lo que está sucediendo. Thawte es un CA de confianza general; Los navegadores y sistemas operativos comunes ya confían en él para verificar un sitio web. Viene preinstalado en su computadora, porque Apple confía en ellos. Sin embargo, no es confiable verificar un servidor RADIUS de manera predeterminada, por lo que está aceptando manualmente el certificado de la escuela.

    
respondido por el cpast 19.01.2015 - 22:38
fuente
0

Creo que por certificado raíz de CA, te refieres a un certificado autofirmado que la universidad te pidió que instales. Eso permite a los administradores de la red de la universidad ver todo tu tráfico desnudo. Piense en esto como otro ataque de hombre en el medio. Así que sí, si es necesario, su información de inicio de sesión está a merced de los administradores de la universidad.

Las direcciones IP 208.xxx utilizadas para DNS son OpenDNS servidores de nombres

    
respondido por el sandyp 19.01.2015 - 22:34
fuente

Lea otras preguntas en las etiquetas