我的学校能准确地看到我在做什么吗?

信息安全 证书 无线上网
2021-09-10 21:52:17

我的学校要求我们安装 digicert 全球根 CA 和 digicert sha2 安全服务器,以便在我们的个人设备上访问安全和访客 WiFi。这是否意味着学校可以看到个人电子邮件的内容(不在给定的 .edu 帐户上)以及我们的确切历史记录?

单击证书后,它会列出:

  • 算法(rsa加密)
  • 参数(无)
  • 公钥大小 (2048)
  • 公钥数据(大量数字和字母),以及
  • 指纹
3个回答

您没有提供足够的上下文。如果他们只是要求您拥有默认的 digicert 全局根证书(大多数操作系统和 Web 浏览器都预装了该证书),那不是问题。

也就是说,一些网络环境(通常是具有严格网络策略的工作场所)通过对所有 HTTPS 连接使用中间人攻击来监控网络使用情况。您可以通过查看 HTTPS 证书指纹是否与众所周知的指纹匹配来测试这一点。

例如,在您的手机上访问https://www.grc.com/fingerprints.htm,然后访问一个域,并检查 SHA1 指纹是否匹配。(在大多数浏览器中,您可以通过单击 URL 的锁定部分并通过菜单获取证书信息来找到证书信息)。

请注意,他们始终可以观察您使用哪些 IP 连接发送数据、您正在访问的所有 HTTP(不是 HTTPS)、您访问的 HTTPS 站点的服务器名称(www.example.com)(服务器名称识别标准允许这样做)以明文形式发送)。

例如,典型的 ubuntu 安装附带受信任的 DigiCert_Global_Root_CA.pem:

$ cat /etc/ssl/certs/DigiCert_Global_Root_CA.pem 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

其中包含以下信息:

$ openssl x509 -text -in /etc/ssl/certs/DigiCert_Global_Root_CA.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
        Validity
            Not Before: Nov 10 00:00:00 2006 GMT
            Not After : Nov 10 00:00:00 2031 GMT
        Subject: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e2:3b:e1:11:72:de:a8:a4:d3:a3:57:aa:50:a2:
                    8f:0b:77:90:c9:a2:a5:ee:12:ce:96:5b:01:09:20:
                    cc:01:93:a7:4e:30:b7:53:f7:43:c4:69:00:57:9d:
                    e2:8d:22:dd:87:06:40:00:81:09:ce:ce:1b:83:bf:
                    df:cd:3b:71:46:e2:d6:66:c7:05:b3:76:27:16:8f:
                    7b:9e:1e:95:7d:ee:b7:48:a3:08:da:d6:af:7a:0c:
                    39:06:65:7f:4a:5d:1f:bc:17:f8:ab:be:ee:28:d7:
                    74:7f:7a:78:99:59:85:68:6e:5c:23:32:4b:bf:4e:
                    c0:e8:5a:6d:e3:70:bf:77:10:bf:fc:01:f6:85:d9:
                    a8:44:10:58:32:a9:75:18:d5:d1:a2:be:47:e2:27:
                    6a:f4:9a:33:f8:49:08:60:8b:d4:5f:b4:3a:84:bf:
                    a1:aa:4a:4c:7d:3e:cf:4f:5f:6c:76:5e:a0:4b:37:
                    91:9e:dc:22:e6:6d:ce:14:1a:8e:6a:cb:fe:cd:b3:
                    14:64:17:c7:5b:29:9e:32:bf:f2:ee:fa:d3:0b:42:
                    d4:ab:b7:41:32:da:0c:d4:ef:f8:81:d5:bb:8d:58:
                    3f:b5:1b:e8:49:28:a2:70:da:31:04:dd:f7:b2:16:
                    f2:4c:0a:4e:07:a8:ed:4a:3d:5e:b5:7f:a3:90:c3:
                    af:27
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier: 
                03:DE:50:35:56:D1:4C:BB:66:F0:A3:E2:1B:1B:C3:97:B2:3D:D1:55
            X509v3 Authority Key Identifier: 
                keyid:03:DE:50:35:56:D1:4C:BB:66:F0:A3:E2:1B:1B:C3:97:B2:3D:D1:55

    Signature Algorithm: sha1WithRSAEncryption
         cb:9c:37:aa:48:13:12:0a:fa:dd:44:9c:4f:52:b0:f4:df:ae:
         04:f5:79:79:08:a3:24:18:fc:4b:2b:84:c0:2d:b9:d5:c7:fe:
         f4:c1:1f:58:cb:b8:6d:9c:7a:74:e7:98:29:ab:11:b5:e3:70:
         a0:a1:cd:4c:88:99:93:8c:91:70:e2:ab:0f:1c:be:93:a9:ff:
         63:d5:e4:07:60:d3:a3:bf:9d:5b:09:f1:d5:8e:e3:53:f4:8e:
         63:fa:3f:a7:db:b4:66:df:62:66:d6:d1:6e:41:8d:f2:2d:b5:
         ea:77:4a:9f:9d:58:e2:2b:59:c0:40:23:ed:2d:28:82:45:3e:
         79:54:92:26:98:e0:80:48:a8:37:ef:f0:d6:79:60:16:de:ac:
         e8:0e:cd:6e:ac:44:17:38:2f:49:da:e1:45:3e:2a:b9:36:53:
         cf:3a:50:06:f7:2e:e8:c4:57:49:6c:61:21:18:d5:04:ad:78:
         3c:2c:3a:80:6b:a7:eb:af:15:14:e9:d8:89:c1:b9:38:6c:e2:
         91:6c:8a:ff:64:b9:77:25:57:30:c0:1b:24:a3:e1:dc:e9:df:
         47:7c:b5:b4:24:08:05:30:ec:2d:bd:0b:bf:45:bf:50:b9:a9:
         f3:eb:98:01:12:ad:c8:88:c6:98:34:5f:8d:0a:3c:c6:e9:d5:
         95:95:6d:de

如果他们要求您安装此证书,应该没有问题;例如,Mozilla 默认信任它如果他们要求您安装并信任具有相同名称的不同证书,那将是一个问题。也就是说,我不熟悉名为“digicert sha2 安全服务器”的证书。该证书的指纹是否列在 Mozilla 信任的证书中

编辑看起来我对这个不正确。如果证书是合法的,那么它可能用于 RADIUS 身份验证。学习新东西很棒,这就是我在这里的原因。谢谢史蒂芬👍

他们很可能正在运行 TLS 拦截器。这意味着当您尝试建立安全连接 (https) 时,学校会以假证书作为响应,然后由他们安装的根 CA 进行验证。

这仅仅意味着您和学校之间存在安全连接,然后他们会与您最初尝试连接的任何地方建立第二次安全连接。

这样做的最终结果是他们可以看到通过 https“安全”连接传递的任何内容。

您可以通过访问 https we 站点,然后检查提供的证书(在 URL 栏中查看证书信息的锁或盾牌图标)来符合此要求。如果提供的证书具有以您安装的证书结尾的信任链,那么您将被拦截。

这并不意味着他们可以访问您计算机上的文件,而只是意味着他们正在窥探您的 SSL/TLS 连接。

如果他们想确定,他们所要做的就是跟踪传入和传出数据的去向。路由器有一个私有和公共 IP,公共 IP 是您网络之外的任何东西看到的(您可以通过在 Google 中输入“我的 IP 是什么”找到您的公共 IP),而私有 IP 是您的计算机分配的地址,因此您的数据是发送给您,而不是同一网络上的错误人。

因此,理论上他们所要做的就是使用一个程序来记录他们网络上的所有数据包,然后他们只需从计算机获取您的 MAC 地址并将其与日志匹配即可。

因此,简而言之,某人网络上不受 VPN 保护的任何内容都可以并且可能会在某个时候被查看。