Por su descripción, parece que no ha instalado una nueva CA en absoluto; usted aceptó un certificado para autenticar la red inalámbrica, o aceptó una CA ya instalada para verificar los certificados para autenticar esa red. Esto no es un riesgo de seguridad; es bastante normal, no permite que la universidad firme sus propios certificados y no les permite hacerse pasar por sitios web. Todo lo que hace es verificar la identidad del servidor que procesa las credenciales que utilizó para iniciar sesión en la red inalámbrica.
Algunos antecedentes: muchas universidades utilizan la seguridad de WPA / WPA2 Enterprise, que implica iniciar sesión en la red wifi con su nombre de usuario y contraseña de la universidad (ingresados en el cliente wifi, no en un navegador web). En tales casos, el servidor de autenticación (llamado servidor RADIUS) necesita verificar su identidad, lo que hace con un certificado, al igual que para los sitios web.
Para los sitios web, una CA puede verificar un certificado para un dominio en particular. Sin embargo, no hay una buena manera de hacerlo para los servidores RADIUS; Puede que tenga un certificado legítimo para radius.cpast.com
, pero eso no significa que deba confiar en mi servidor RADIUS cuando se conecte a SchoolWifi
. Por lo tanto, es bastante común que se le solicite aceptar manualmente el certificado de la red inalámbrica. Esto no es un riesgo de seguridad; no está aceptando una CA controlada por la universidad, está aceptando un certificado particular para esa red wifi específica.
(Windows lo hace de forma un poco diferente: do acepta una CA (ya instalada) para la red inalámbrica, pero también recuerda el dominio del servidor RADIUS, por lo que se intenta ignorar radius.cpast.com
para SchoolWifi
no funcionaría porque Windows solo aceptaría certificados para radius.school.edu
y de una CA particular que el usuario aceptó cuando se conectó por primera vez).
Por lo tanto, no es inusual obtener un aviso de certificado, y generalmente no es un riesgo de seguridad aceptarlo.
EDITAR: Con tus comentarios, es aún más claro que esto es lo que está sucediendo. Thawte es un CA de confianza general; Los navegadores y sistemas operativos comunes ya confían en él para verificar un sitio web. Viene preinstalado en su computadora, porque Apple confía en ellos. Sin embargo, no es confiable verificar un servidor RADIUS de manera predeterminada, por lo que está aceptando manualmente el certificado de la escuela.