Para ingresar mi teléfono personal a la red Wi-Fi de mi lugar de trabajo, debo aceptar un certificado:
Si acepto este certificado, ¿seré vulnerable a los ataques de intermediarios? Por ejemplo, si mi departamento de TI corporativo decidiera emitir su propio certificado SSL para www.google.com, ¿mi dispositivo pensaría que ese certificado era válido?
¿Para qué se utiliza este certificado?
¿Para qué se utiliza este certificado?
Una implementación estándar de WPA o WPA2 en entornos empresariales es utilizar la autenticación basada en certificados para el acceso a la red inalámbrica . Para los dispositivos propiedad de la empresa, hace que la conexión a la red inalámbrica de la empresa sea perfecta: los certificados requeridos se instalan automáticamente en algún momento (durante la creación de imágenes / aprovisionamiento, a través de la Política de grupo, etc.), de forma totalmente transparente para el usuario final. Cuando un usuario va a conectarse a una red inalámbrica con el dispositivo de su empresa, ya tiene el certificado requerido instalado y de confianza. (Dependiendo de la configuración, el certificado solo puede ser suficiente, o puede requerir autenticación adicional en las credenciales de dominio, o puede basarse en el dispositivo en sí, etc.)
Si acepto este certificado, ¿seré vulnerable a los ataques de intermediarios?
Probablemente no.
Los certificados en cuestión para WPA-enterprise generalmente son generados por una autoridad de certificación interna, en lugar de una autoridad de certificación pública, lo que significa que los dispositivos personales no confían en la CA, porque no lo saben. El OEM de su dispositivo (Apple) lo carga con una lista de CA públicas confiables que proporcionan certificados para servicios públicos (los sitios web https son el ejemplo más omnipresente), pero como la red inalámbrica de su empleador no es pública, no hay razón para que usen dicho certificado (y posiblemente, algunas razones para que no lo hagan).
Por esta razón, su dispositivo le está avisando con una advertencia de que se le está ofreciendo un certificado de una fuente no confiable / no verificada.
Si miras el certificado, dice que el propósito es "Autenticación del servidor". Esto indica que el certificado se está utilizando para autenticar un servidor en particular en la red de su empresa (ya sea el WAP al que se está conectando , o el servidor RADIUS que está haciendo autenticación, autorización y contabilidad (AAA) para conexiones inalámbricas). La aceptación de este certificado solo hará que su dispositivo confíe en el servidor para el que se encuentra el certificado. Si su departamento de TI decidió emitir un certificado para Google o quienquiera que intercepte el tráfico SSL, su dispositivo no confiará automáticamente en ese certificado basándose en la aceptación de este, porque este certificado solo se usa para autenticar un host específico . Para hacer eso, tendría que aceptar un certificado de la autoridad de certificación interna.
Dicho esto, existe una posibilidad muy remota de que realmente te estés conectando a un WAP deshonesto que solo dice ser uno de tus empleadores. Para determinar si el AP al que se está conectando es legítimo o no, probablemente quiera consultar a su departamento de TI. Puede comparar el certificado con uno que sepa que es válido (como el que está instalado en el dispositivo de su empresa), o importar el certificado público de la CA interna de su empresa a su dispositivo personal, pero en general es más fácil simplemente preguntar. (Y si le preocupa que su empleador intercepte el tráfico SSL, no querrá importar ningún certificado interno de CA en su dispositivo, por supuesto).
En este caso, no, su dispositivo no estará sujeto a MITM de tráfico https.
Es posible que los empleadores implementen un certificado raíz en las máquinas para instalar un proxy MITM. (BlueCoat es una compañía que ofrece dicho dispositivo comercialmente). Sin embargo, eso requiere que se instale un certificado de "raíz confiable" en las computadoras cliente.
En su caso, el certificado que se muestra en la captura de pantalla dice que se usará para la "autenticación del servidor". Este no es un certificado raíz de confianza y no se puede utilizar para verificar otros certificados. Esto significa que un proxy MITM no podrá usarlo para otorgarle un certificado firmado sustituto.
Por supuesto, su tráfico no cifrado todavía está sujeto a inspección.
Supongo que te estás conectando desde tu dispositivo personal.
Muchas empresas tienen sus propios certificados en su red en algún lugar para que puedan verificar el tráfico HTTPS que pasa a través de su red. En muchos países es legal que las compañías lean el tráfico utilizando sus equipos, y consideran que esto es necesario para protegerse contra virus, etc.
Como no pueden leer el HTTPS, le dan su propio certificado y luego vuelven a cifrar los datos entre ellos y su destino. Un MITM de hecho, pero es solo su compañía, y presumiblemente puede confiar en ellos.
No es posible que nadie más realice un ataque MITM si solo acepta el certificado de su empresa.
Esto es el equivalente a crear un certificado autofirmado. Imagina lo siguiente, despliegas una red. Dentro de esta red hay sistemas que sabe que implementó y en los que confía. Usted crea un certificado autofirmado con cifrado fuerte. Este certificado no puede ser validado por usted mismo a menos que cree su propia Autoridad de certificación ( CA ) .
Lo que está viendo: "No verificado" simplemente significa que este certificado no es visible para ninguna CA . Su empresa tiene algunas opciones: 1) Obtener un certificado firmado 2) Crear su propia CA o 3) dejarlo como está. Así que se deja como está, y ahora está recibiendo el error. ¿Eres vulnerable a un ataque MiTM? La respuesta es sí. Pero incluso con un certificado firmado, eres vulnerable a un ataque MiTM.
Se sabe que los atacantes roban certificados SSL legítimos, por lo que eres vulnerable a un ataque de MiTM con o sin un certificado verificado, sin embargo, es easier realizar un MiTM ataque con un certificado no verificado, ya que los usuarios pueden presionar "OK" cuando se les pregunte " Este certificado no es válido ". Aquí hay algunas lectura informativa sobre SSL para responder a su pregunta.
sí, lo estarás: parece que un MITM está plantando un certificado en tu dispositivo. ¿Puede mostrar los detalles completos de un certificado? ¿Cuáles son sus capacidades de uso permitidas? Si sería un certificado interno válido para, digamos, una interfaz web de intranet para algo, entonces ningún nombre externo (como dot-com como veo en su captura de pantalla) alguna vez estará en la información del certificado
Lea otras preguntas en las etiquetas wifi man-in-the-middle