¿Qué acceso otorga la instalación del archivo de certificado personalizado?

Cuando instala el certificado, permite que el servicio que se ejecuta en su teléfono lo use para técnicamente mitigar el tráfico: puede descifrar el tráfico antes de que lo vea, lo edite, lo envíe a otro servidor, inyecte scripts, lo que sea, y aún así haga que parezca válido para su navegador, ya que renuncia a los datos con su propio certificado que instaló manualmente. Esta es la advertencia que recibe: Android simplemente le está advirtiendo que tenga cuidado cuando instale el certificado, ya que no puede confiar en que lo que ve en su pantalla no se vea afectado.

El problema aquí es que, al instalar un certificado raíz, le está diciendo a su dispositivo que quien posea la clave privada del certificado, y que sea capaz de emitir más certificados, es digno de confianza en cuestiones de si algún servicio cifrado con SSL es auténtico. Si está seguro de tener la única copia de la clave privada, la presencia de dicho certificado no le otorga a otras personas ningún acceso adicional de inmediato. (Sin embargo, robarle la clave privada puede ser más barato para un adversario suficientemente determinado que robarle una de una agencia de certificación profesional). Sin embargo, si está instalando un certificado raíz que proviene de otra persona, como un empleador, dándoles la posibilidad de emitir certificados falsos que su dispositivo considerará verdaderos, y de ahí proviene el riesgo de MitM y el monitoreo relacionado.

Tenga en cuenta que los certificados se aplican a todos los servicios cifrados con SSL, no solo a los sitios web. En particular, me gustaría señalar que hoy en día SSL se usa ampliamente para el correo electrónico, incluido el acceso IMAPS / POPS a los buzones de correo remotos.