没关系。您安装并信任的证书用于为您提供针对其 RADIUS 服务器的安全身份验证，并防止您连接到流氓 RADIUS 服务器。如果有人决定通过安装流氓 RADIUS 服务器来窃取您的 Active Directory 凭据，您的手机将弹出一条警告，指出 RADIUS 证书不受信任。

通过信任此证书，您不会冒任何其他风险。学校不能使用此证书来读取您的 SSL 流量或尝试 MITM 您的 SSL 流量。从我在您的问题中读到的内容来看，您的学校做得正确并且关心您的安全。

这在 SSL 上下文中不是问题，因为您知道您需要什么样的证书，因为您在地址栏中手动输入网站名称。在 wi-fi 中不知道您连接到哪个 AP 并确保它是合法的，AP 应提供您明确信任的 RADIUS 证书。

默认情况下，我的手机似乎不信任这个。是因为理论上这允许我的学校解密 SSL 通信吗？

根据您的描述，没有。

如果它真的来自 DigiCert，我的手机肯定会信任它吗？

问题是在您对无线网络进行身份验证之前，您实际上并没有连接到网络，也无法访问任何其他主机。当您的设备尝试进行身份验证时，您手机上的 EAP 请求者将仅与身份验证服务器通信。

对于 802.11 无线使用的大多数 EAP 方法，服务器将向 EAP 请求者提供证书，请求者必须决定是否将您的凭据（用户名/密码）传回服务器。由于您的设备尚未连接到网络，因此 EAP 请求者的工作知识有限。

至少，除非禁用证书验证，否则 EAP 请求者将检查证书是否是由受信任的 CA 颁发的有效证书，并且证书上列出的主机名是否与身份验证服务器的主机名匹配。

对于某些 EAP 请求者，您还可以选择将指定的 CA 配置为证书的颁发者（即仅来自 Thawte 或 Digicert）和/或身份验证服务器的特定主机名。许多移动设备（手机、平板电脑等）没有这些选项。

如果不使用这些选项或其他类型的检查，您的手机将自动接受任何能够提供具有匹配主机名的有效证书的身份验证服务器。这将使攻击者很容易冒充您学校的无线网络并在他们自己的“身份验证服务器”上获取凭据。提示您接受证书是您批准或拒绝将您的凭据发送到身份验证服务器的机会。

首次接受证书后，只有在为您的手机提供了不同的证书（或者您删除并重新添加无线配置文件）时，您才应该再次看到提示。一些学校将拥有多个身份验证服务器，因此多次看到这种情况并不罕见。但是，如果您发现证书可疑（即“arubuwifi.jimbobscomputers.com”），则不应接受它。

不，这不好，人们这么说很奇怪！

当它显示“不信任”时，这意味着您的手机无法验证证书。不幸的是，iPhone 不会告诉你为什么它不能验证它。可能有攻击者签署了自己的证书（在任何计算机上都很容易做到这一点）并简单地伪造了您的学校和 DigiCert 等的名称。虽然为其中一个伪造签名是不可行的比如说，DigiCert 的真实密钥，可以简单地放入垃圾签名或伪造的 DigiCert 密钥；iPhone 将无法验证它，只会说“不信任”。

那么，如果攻击者让您信任他们的证书，他们会怎么做呢？好吧，如果他们让您接受签名证书，那么是的，他们可以检查您的所有 SSL/TLS 流量。这就是审查民族国家监视其公民交通的做法。

如果它说“不信任”，那么不要相信它。其他人都在给你可怕的建议和虚假信息。