我最近发现,为了在我的 ISP 提供的路由器上登录基于 Web 的管理工具,我需要接受它提供的自签名证书。我做了一些阅读,听起来 ISP 颁发的自签名证书可以使 ISP 对接受证书的计算机执行 MITM 攻击。(请参阅公司对 MITM HTTPS 流量的常见做法吗?)
在我的情况下,这是我应该关注的事情吗?如果我接受证书,我是否可能会破坏与 ISP 或路由器软件以外的各方的端到端加密?
当我查看证书的详细信息时,它显示“根证书颁发机构”。这是自签名的同义词还是该证书可用于 MITM 攻击?
这是证书详细信息的屏幕截图,看起来我不应该在互联网上传播的东西被涂黑了:
截图一:
截图二:
截图 3:
您显示的证书不仅是自签名的,而且还是一个证书颁发机构,这意味着它可以为任何网站颁发更多证书。
如果您将该证书作为受信任的证书颁发机构安装到浏览器中,那么是的,您的 ISP 将能够进行您所引用的那种中间人攻击。
我不知道是否只需单击该页面上的证书警告将安装,或者只是忽略该页面的警告。我的猜测是,如果您单击此警告,则该证书将显示在浏览器的受信任证书颁发机构的信任库中,这将是不好的。
我倾向于说您的 ISP 不是恶意的,而是他们并不真正了解证书的工作原理。如果他们试图对你进行攻击,他们会在你第一次设置路由器时说服你安装证书,说“没有它,互联网将无法工作”,事实上,你可能会看到各种奇怪的证书错误在其他正常的网站上,例如google.com.