J'ai récemment découvert que pour me connecter à l'outil d'administration Web sur mon routeur fourni par le FAI, je dois accepter un certificat auto-signé qu'il propose. J'ai fait un peu de lecture et il semble que les certificats auto-signés émis par un FAI puissent permettre au FAI d'effectuer des attaques MITM sur les ordinateurs qui ont accepté le certificat. (voir Est-ce une pratique courante pour les entreprises de MITM le trafic HTTPS? )
Est-ce quelque chose qui devrait m'inquiéter dans ma situation? Si j'accepte le certificat, vais-je potentiellement compromettre le chiffrement de bout en bout avec des parties autres que le FAI ou le logiciel de mon routeur?
Quand je vois les détails du certificat, il dit "Autorité de certification racine". S'agit-il d'un synonyme d'auto-signature ou ce certificat peut-il être utilisé pour une attaque MITM?
Voici des captures d'écran des détails du certificat, avec des choses qui semblaient que je ne devrais pas diffuser sur Internet occultées:
Non seulement le certificat que vous montrez est auto-signé, mais c'est également une autorité de certification, ce qui signifie qu'il peut émettre plus de certificats pour n'importe quel site Web.
Si vous installez ce certificat dans votre navigateur en tant qu'autorité de certification de confiance, alors oui, votre FAI sera en mesure de faire le type d'attaques MitM auxquelles vous faites référence.
Je ne sais pas si le simple fait de cliquer sur l'avertissement de certificat sur cette page s'installera, ou simplement ignorer l'avertissement pour cette seule page. Je suppose que si vous cliquez sur cet avertissement, ce certificat s'affichera alors dans le magasin de confiance des autorités de certification de confiance de votre navigateur, ce qui serait mauvais.
Je serais enclin à dire que votre FAI n'est pas malveillant, mais qu'il ne comprend pas vraiment le fonctionnement des certificats. S'ils essayaient de vous MitM, ils vous auraient persuadé d'installer le certificat lors de la première configuration du routeur en disant "Internet ne fonctionnera pas sans lui", et en effet, vous verriez probablement toutes sortes d'erreurs de certificats étranges sur des sites Web par ailleurs normaux, comme google.com
.