Mi universidad requiere que instale una CA raíz personalizada para conectarme a su red wifi. Cuando lo instalé en mi teléfono, me permitió especificar "Wifi" o "VPN y aplicaciones". Elegí wifi y pude conectarme con éxito.
Sin embargo, me preocupa la seguridad de este certificado. No sé quién es el responsable en mi universidad, y si es un grupo de estudiantes voluntarios que no saben lo que están haciendo.
Cuando elegí la opción "Wifi", ¿eso significa que la CA solo se usará para autenticar con la red wifi y no para nada más? Entonces, si la clave privada se filtra y alguien intenta crear un sitio de phishing usando HTTPs para apuntar a los estudiantes, ¿Chrome o cualquier navegador que haya instalado aceptaría un certificado HTTPs para un sitio firmado por la CA que instalé para wifi?
Estoy en Android 7.1.1
Una autoridad de certificación firma certificados digitales. A menudo, las empresas pagarán a una CA de confianza internacional, como VeriSign o DigiCert, para firmar certificados en su propio dominio.
En algunos casos, puede tener más sentido actuar como su propia CA, en lugar de pagar a una CA como DigiCert. Su universidad está haciendo exactamente eso, es decir, utilizando su propia autoridad de certificación.
Lo primero que debe comprender es que la CA raíz que instaló no es una clave privada, sino una clave pública. Eche un vistazo a sus certificados en el navegador que está utilizando y mire la pestaña de autoridades, verá un montón de CA raíz como VeriSign.
Entonces, digamos que su universidad tiene una página web informativa university.edu. Sin instalar la CA raíz en su dispositivo, si fuera a la página web, vería un error advirtiéndole que el sitio no es de confianza. Después de instalar la CA raíz, el sitio se mostrará como seguro ya que está verificando que es válido usando la clave pública en su dispositivo. El servidor web unversity.edu tendrá una clave privada que se correlaciona con la clave pública que tiene. Entonces, cuando accede a la página web, verifica que es un sitio válido.
En esencia, tener la CA raíz no es un problema. La única clave que podría causar problemas importantes si se compromete es la clave privada de la CA raíz. Por lo general, las CA se configuran con una CA raíz y luego una CA intermedia. La clave raíz se mantiene fuera de línea para que no pueda verse comprometida. De esa forma, si la clave privada utilizada para firmar solicitudes de certificado en la CA intermedia se ve comprometida, se generará una nueva clave privada utilizando la clave privada raíz. Esto requeriría volver a emitir claves para todos los servidores que están verificados, pero protege el medio ambiente.
Espero que esto ayude.
Eche un vistazo a esta documentación para configurar una autoridad de certificación para obtener una comprensión más detallada de cómo funciona una autoridad de certificación.
https://jamielinux.com/docs/openssl-certificate-authority/introduction.html
Encuentro la otra respuesta aquí muy engañosa.
Instalar una CA raíz es un riesgo ENORME. Eso significa que casi todo el tráfico de su red puede ser interceptado (lo que puede generar problemas mayores).
Pero, no estoy seguro de que este sea el caso. Creo que no instaló una CA raíz de confianza, sino solo una CA de "Autenticación del servidor" para que su cliente (su teléfono) pueda verificar el servidor RADIUS que se utiliza para autenticar sus credenciales en WPA2-Enterprise Wi- Fi.
Esto es bastante común en las universidades.
Eso significa que su universidad no puede firmar ningún certificado para ningún dominio que no sea el servidor especificado.
Aunque esto no es seguro. Si pudiera actualizar su pregunta con una captura de pantalla de la solicitud que recibió, puedo decirlo con certeza.
tim g
tim g