Mon école nous oblige à installer digicert global root CA et digicert sha2 secure server pour accéder au WiFi sécurisé et invité sur nos appareils personnels. Cela signifie-t-il que l'école peut voir le contenu des e-mails personnels (pas sur le compte .edu donné) ainsi que notre historique exact?
Une fois que vous avez cliqué sur les certificats, il répertorie:
Vous ne donnez pas assez de contexte. S'ils exigent simplement que vous ayez le certificat racine global digicert par défaut (qui est préinstallé sur la plupart des systèmes d'exploitation et des navigateurs Web), ce n'est pas un problème.
Cela dit, certains environnements réseau (généralement des lieux de travail avec une politique réseau stricte) surveillent l'utilisation du réseau en utilisant une attaque man-in-the-middle sur toutes les connexions HTTPS. Vous pouvez tester cela en voyant si les empreintes digitales des certificats HTTPS correspondent à celles bien connues.
Par exemple, visitez https://www.grc.com/fingerprints.htm sur votre téléphone, puis visitez un domaine et vérifiez que les empreintes digitales SHA1 correspondent. (Dans la plupart des navigateurs, vous pouvez trouver les informations de certificat en cliquant sur la partie de verrouillage de l'URL et en parcourant le menu pour obtenir les informations de certificat).
Veuillez noter qu'ils peuvent toujours observer les connexions IP avec lesquelles vous envoyez des données, tous les HTTP (pas HTTPS) que vous visitez, le nom du serveur (www.example.com) des sites HTTPS que vous visitez (la norme d'identification du nom du serveur permet que cela soit envoyé en clair).
Par exemple, les installations ubuntu typiques sont fournies avec DigiCert_Global_Root_CA.pem de confiance:
$ cat /etc/ssl/certs/DigiCert_Global_Root_CA.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
qui contient les informations:
$ openssl x509 -text -in /etc/ssl/certs/DigiCert_Global_Root_CA.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a
Signature Algorithm: sha1WithRSAEncryption
Issuer: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
Validity
Not Before: Nov 10 00:00:00 2006 GMT
Not After : Nov 10 00:00:00 2031 GMT
Subject: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:e2:3b:e1:11:72:de:a8:a4:d3:a3:57:aa:50:a2:
8f:0b:77:90:c9:a2:a5:ee:12:ce:96:5b:01:09:20:
cc:01:93:a7:4e:30:b7:53:f7:43:c4:69:00:57:9d:
e2:8d:22:dd:87:06:40:00:81:09:ce:ce:1b:83:bf:
df:cd:3b:71:46:e2:d6:66:c7:05:b3:76:27:16:8f:
7b:9e:1e:95:7d:ee:b7:48:a3:08:da:d6:af:7a:0c:
39:06:65:7f:4a:5d:1f:bc:17:f8:ab:be:ee:28:d7:
74:7f:7a:78:99:59:85:68:6e:5c:23:32:4b:bf:4e:
c0:e8:5a:6d:e3:70:bf:77:10:bf:fc:01:f6:85:d9:
a8:44:10:58:32:a9:75:18:d5:d1:a2:be:47:e2:27:
6a:f4:9a:33:f8:49:08:60:8b:d4:5f:b4:3a:84:bf:
a1:aa:4a:4c:7d:3e:cf:4f:5f:6c:76:5e:a0:4b:37:
91:9e:dc:22:e6:6d:ce:14:1a:8e:6a:cb:fe:cd:b3:
14:64:17:c7:5b:29:9e:32:bf:f2:ee:fa:d3:0b:42:
d4:ab:b7:41:32:da:0c:d4:ef:f8:81:d5:bb:8d:58:
3f:b5:1b:e8:49:28:a2:70:da:31:04:dd:f7:b2:16:
f2:4c:0a:4e:07:a8:ed:4a:3d:5e:b5:7f:a3:90:c3:
af:27
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
03:DE:50:35:56:D1:4C:BB:66:F0:A3:E2:1B:1B:C3:97:B2:3D:D1:55
X509v3 Authority Key Identifier:
keyid:03:DE:50:35:56:D1:4C:BB:66:F0:A3:E2:1B:1B:C3:97:B2:3D:D1:55
Signature Algorithm: sha1WithRSAEncryption
cb:9c:37:aa:48:13:12:0a:fa:dd:44:9c:4f:52:b0:f4:df:ae:
04:f5:79:79:08:a3:24:18:fc:4b:2b:84:c0:2d:b9:d5:c7:fe:
f4:c1:1f:58:cb:b8:6d:9c:7a:74:e7:98:29:ab:11:b5:e3:70:
a0:a1:cd:4c:88:99:93:8c:91:70:e2:ab:0f:1c:be:93:a9:ff:
63:d5:e4:07:60:d3:a3:bf:9d:5b:09:f1:d5:8e:e3:53:f4:8e:
63:fa:3f:a7:db:b4:66:df:62:66:d6:d1:6e:41:8d:f2:2d:b5:
ea:77:4a:9f:9d:58:e2:2b:59:c0:40:23:ed:2d:28:82:45:3e:
79:54:92:26:98:e0:80:48:a8:37:ef:f0:d6:79:60:16:de:ac:
e8:0e:cd:6e:ac:44:17:38:2f:49:da:e1:45:3e:2a:b9:36:53:
cf:3a:50:06:f7:2e:e8:c4:57:49:6c:61:21:18:d5:04:ad:78:
3c:2c:3a:80:6b:a7:eb:af:15:14:e9:d8:89:c1:b9:38:6c:e2:
91:6c:8a:ff:64:b9:77:25:57:30:c0:1b:24:a3:e1:dc:e9:df:
47:7c:b5:b4:24:08:05:30:ec:2d:bd:0b:bf:45:bf:50:b9:a9:
f3:eb:98:01:12:ad:c8:88:c6:98:34:5f:8d:0a:3c:c6:e9:d5:
95:95:6d:de
Il ne devrait y avoir aucun problème s'ils vous demandent d'installer ce certificat; par exemple, Mozilla lui fait confiance par défaut . Ce serait un problème s'ils vous demandent d'installer et de faire confiance à un certificat différent du même nom. Cela dit, je ne suis pas familier avec le certificat appelé "serveur sécurisé digicert sha2". Est-ce que l'empreinte de ce certificat est répertoriée dans les certificats approuvés par Mozilla ?
Edit: On dirait que je n'avais pas raison sur celui-ci. Si le certificat est légitime, il est probablement utilisé pour RADIUS auth. C'est génial d'apprendre de nouvelles choses, c'est pourquoi je suis ici. Merci Steffen ????
Il est probable qu'ils exécutent un intercepteur TLS. Cela signifie que lorsque vous essayez d'établir une connexion sécurisée (https), l'école répond avec un faux certificat, qui est ensuite validé par l'autorité de certification racine qu'ils vous ont installée.
Cela signifie simplement que des connexions sécurisées sont établies entre vous et l'école, puis ils établissent une deuxième connexion sécurisée là où vous tentiez initialement de vous connecter.
Le résultat final de ceci est qu'ils peuvent voir tout ce qui est passé sur une connexion https "sécurisée".
Vous pouvez le conformer en vous rendant sur un site https que nous visitons, puis en vérifiant quel certificat a été présenté (recherchez dans la barre d'URL une icône de verrou ou de bouclier pour les informations de certificat). Si le certificat présenté a une chaîne de confiance qui se termine par le certificat qu'ils vous ont installé, vous êtes intercepté.
Cela ne signifie pas qu'ils ont accès à vos fichiers sur votre ordinateur, cela signifie simplement qu'ils espionnent vos connexions SSL/TLS.