¿Qué hace que “no se especifique un valor” por defecto en keychain en osx?

1

En el llavero osx, estaba navegando por certificados en los que mi escuela me obliga a confiar y encontré una autoridad de certificación intermedia firmada por un usuario no confiable. Creo que ese sería yo y me preguntaba qué pasaría de forma predeterminada con la confianza del certificado. "sin valor especificado" es lo que se configura para confiar en los certificados ssl? También me pregunto qué tipo de certificados podría emitir / firmar este certificado intermedio.

Las imágenes a continuación son de la raíz intermedia ca, como nota al margen, esta ca ya se ha usado para firmar certificados para la política básica x.509 y el protocolo de autenticación extensible (EAP), lo cual tiene sentido, ya que se usa para conectarse a wifi .

A continuación se enumeran algunas de las preguntas que tuve sobre cómo se configura el wifi de mi escuela y cómo puedo protegerme

  1. ¿Puede la raíz intermedia ca que mi escuela me obliga a confiar en man en el medio de mi sistema firmando / emitiendo certificados ssl?
  2. ¿Se puede cambiar el certificado que el certificado de CA intermedio ha emitido a "Nunca confiar" a todo, pero EAP y X.509 ayudarían?
  3. Revocaré la confianza de la AC intermedia después de que el wifi de la escuela me haya otorgado un certificado EAP para conectarme al wifi. ¿Permitir que utilicen el wifi de la escuela y no tener al hombre de la escuela en el medio de mi conexión? y si es así, ¿cómo podría hacer esto en iOS?
  4. Finalmente, me preguntaba qué haría otra persona en mi posición si los precios de los datos móviles en Toronto son tan altos.
  5. ¿qué me estaba pidiendo la escuela era un compromiso razonable entre la seguridad y la funcionalidad? -
pregunta Mohammad Ali 30.08.2017 - 20:22
fuente

1 respuesta

2

Para ser justos, últimamente no he usado OS X, pero mi sospecha es: Sí.

No establecer valores específicos para aquellos tipos de uso que sustituyen a los valores predeterminados del sistema es irrelevante, ya que el certificado es una CA.

Con esas opciones, puede rechazar un uso específico para un certificado específico.

Puedes verificar si eres MITM'd al verificar la CA del certificado. Tenga en cuenta también que con PK-Pinning y HSTS, es más difícil que los Proxies SSL funcionen sin que se dé cuenta fácilmente, siempre y cuando el sitio web esté preparado para ello.

Hay complementos del navegador que comprueban lo que otras personas obtienen de un certificado para un dominio determinado, advirtiéndole además de un MITM.

Por lo tanto, se puede mitigar el MITM al navegar, dejando otros servicios basados en TLS. Hay DANE para eso, pero debe ser compatible con el cliente y el servidor y no está tan extendido como se podría esperar.

En lo que respecta a "la escuela me obliga a confiar en esta CA", también puede importar todos los certificados de hoja que CA firmó a mano y explícitamente confiar en que tengan acceso pero no confiar en la CA. Por lo tanto, sabe cuándo algo está mal, pero a veces tiene que otorgar confianza a los nuevos certificados de hoja.

Esto también funcionaría para cualquier otro sistema operativo con un almacén de confianza centralizado y manejable por el usuario también.

La ponderación de esa compensación es una opinión personal, mientras que cuando esté al tanto, puede reducir el uso a aplicaciones no críticas o aseguradas por DANE.

    
respondido por el Tobi Nary 30.08.2017 - 20:33
fuente

Lea otras preguntas en las etiquetas