为什么学校需要在学生笔记本电脑上安装证书?

信息安全 证书
2021-09-04 08:49:30

这个问题表明家长要为学校购买笔记本电脑来安装软件和证书。 我正在寻求了解site certificates安装的原因:

  1. 为什么要安装站点证书?
  2. 这种做法可能会出现什么问题?

我正在寻求了解证书的合法(建设性)原因和滥用/滥用的可能性。从线程中不清楚学校如何以某种方式使用证书解密流量。

4个回答

您可以在机器上安装两种不同类型的证书:

  1. 第一种证书是根证书颁发机构。根证书仅包含证书颁发机构的公钥。根证书是安装在您的机器中的信任锚,以便您的机器可以识别要连接的“受信任”站点,证书颁发机构可以以服务器证书的形式发出“X 是域 Y 的所有者”的声明并且因为您的机器信任根证书颁发机构,它会信任该声明。如果学校/公司在您的机器上安装了根证书,您的机器将信任与学校/公司服务器建立的任何连接,并认为它是合法的。如果安装根证书,学校/公司将能够拦截您的机器通过其网络运行的任何 SSL/TLS 连接,而不会触发浏览器证书错误/警告

  2. 第二种证书是客户端证书。客户端证书包含您唯一的私钥和学校/公司证书颁发机构签署的证书。客户端证书用于您的机器对学校的基础设施进行身份验证,证明是您在连接。客户端证书本质上是一种比记住密码更好的身份验证凭据解决方案。学校/公司不能使用客户端证书来窃听您的机器与不属于学校/公司的服务器的连接。

客户端证书可以安装,不会引起任何安全问题。相反,安装根证书时要非常小心,因为根证书很容易被滥用,这是一个值得关注的问题。

好吧,至少有一个合法的用例。大型组织和大学运行私有 PKI 很常见。这意味着他们有一个(安全的)根证书,用于签署(与最终的子权限)各种证书。

并且通常使用该私有 PKI 来签署不打算公开使用的 HTTPS 服务器:唯一的要求是(内部)客户端都声明私有根证书。

风险是对 HTTPS 连接的 MITM 攻击。事实上,它经常被安全管理员作为一项功能呈现。如果无法深入检查 (*),其中许多将永远不会允许来自安全环境的 HTTPS 连接。这实际上意味着当您通过专用代理从内部网络 HTTPS 时,可以记录所有内容。唯一的规则是应警告用户。它确实是私有的,根本不应该从内部网络完成。

通过过滤代理在大型组织中使用强大的外围安全是很常见的。这些代理分析对等点和流量类型,以防止各种攻击和感染。但是由于 HTTPS 是加密的,除非 MITM 攻击处于活动状态,否则代理无法知道实际交换的内容。

如果学生系统的浏览器在证书安装的受信任根目录中有学校证书(取决于浏览器,此证书可能需要是系统的证书包或浏览器的证书包),那么如果流量通过拦截代理(例如通过学校的wifi),学校能够使用私钥解密流量。因此,与网站的连接不是端到端的安全连接,但代理可以重新建立与网站本身的安全连接,并至少在传输过程中保证数据的安全。这些设备也被称为 SSL-Decrypters(虽然实际上是它的 TLS/SSL),并且几乎每个与我合作过的组织都以某种身份使用这些设备(我是一名渗透测试员,我在很多银行工作)。

您想要这样做的原因有很多,但大多数安装归结为希望窥探用户以更容易发现潜在安全事件(网络上的恶意软件)或只是检测不当使用的公司。

我曾经是个小学生,我在那些计算机上所做的一半根本不是学校作业,如果学校能够解决孩子们使用系统(甚至是他们自己的系统)执行非法任务的问题,这是一件好事我的书。我是一个伟大的隐私倡导者,但只有当你通过他们的代理连接到互联网时,学校才会拥有这些解密权力。因此,如果您连接到一个您不信任且不拥有的网络,在一个您自己没有配置的系统上,您就是在遵守(并同意)其他人的规则。

这取决于“站点证书”的含义,但此答案适用于根证书颁发机构的情况:

大多数学校 - 至少在英国 - 我不了解其他国家/地区,使用某种形式的网络过滤。这通常涉及拦截 Web 流量并检查页面内容的防火墙/代理。

但是 HTTPS 在用户的计算机和网站之间提供端到端加密,因此当连接到 HTTPS 网站时,所有代理都能看到目标 IP 地址,但看不到有关网页内容的信息.

简单地阻止所有 HTTPS 流量是不切实际的,因此为了维护过滤系统,学校需要通过在防火墙/代理处终止加密来打破端到端加密模型。然后它将连接传递给用户,但它必须使用他们自己的证书。此设置使他们能够读取用户计算机和网站之间的所有通信。(中间人攻击)

HTTPs 证书用于防止这种恶意发生 - 因为提供的证书是由学校的防火墙/代理(而不是受信任的证书颁发机构,例如 Verisign)签署的,笔记本电脑的软件将不信任连接(您会看到安全警告/错误浏览器中的消息)。但是,通过将学校的证书安装为受信任的根授权,连接将被信任,您的浏览器将正常运行。

这样做的结果是,来自笔记本电脑的任何 HTTPS 通信都可能被学校拦截和读取(即使它在浏览器中显示为安全)。

更一般地说,任何可以访问学校证书和私钥,并且可以物理访问以拦截笔记本电脑的互联网流量的人,都可以读取您的 SSL/TLS 通信。

看看这个供应商,例如:https ://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

为避免这种情况,请不要安装他们的证书,而是在他们没有阻止的端口上使用 OpenVPN 连接(尝试 53、80、8080、443 等)

其它你可能感兴趣的问题
上一篇证明屏幕截图的创建时间/日期 下一篇四因素身份验证