É seguro adicionar um certificado não confiável a Autoridades de Certificação Raiz Confiáveis?

1

Antes de acessar a internet no trabalho, preciso fazer login no sistema deles. A página de login é ipass.swu.ac.th . Infelizmente, o certificado de segurança que eles usam aparece como não confiável (no Chrome). Eu tenho que clicar em 'Continuar Anyway' toda vez que eu quiser acessar sua página de login.

Eu posso ver em esta resposta que eu posso exportar seu certificado e adicioná-lo como uma autoridade de certificação raiz confiável em Windows.

Minha pergunta é essa. Eu não confio realmente na rede. Eu trabalho em uma universidade na Tailândia, e muitos computadores na rede estão cheios de vírus. Eu nem mesmo confio no centro de computação responsável pela TI aqui. Então, só quero confiar no certificado deles para acessar a página de logon, ipass.swu.ac.th e nada mais. Se eu adicionar seu certificado como uma autoridade raiz confiável, não sei até que ponto essa confiança se estende.

Para dar um exemplo concreto, quando eu abro o iTunes, se eu não tiver feito logon anteriormente no ipass.swu.ac.th, ele reclama que ele não pode acessar com segurança os servidores da Apple. Isso é bom - eu quero manter esse aviso. Quero compartilhar apenas meu nome de usuário e senha da universidade com ipass.swu.ac.th. Não quero compartilhar nenhuma outra credencial com eles e tenho medo de que, se eu confiar na autoridade, aplicativos como o iTunes possam compartilhar informações particulares com o centro de computação da universidade.

    
por Kit Johnson 27.03.2014 / 04:11

1 resposta

5

Um certificado raiz confiável é aquele confiável para emitir certificados para outros domínios. Se você adicionar o certificado da sua universidade como uma raiz confiável, será possível para a universidade se passar por outros sites protegidos por SSL, a fim de interceptar e interceptar suas conexões com esses sites. (Isso é conhecido como ataque man-in-the-middle .)

Isso é algo que a universidade teria que fazer de propósito - eles não "acidentalmente" obterão informações de seus aplicativos apenas porque você instalou o certificado - mas não é inédito. Alguns departamentos de TI corporativos instalam um certificado raiz corporativo em todos os computadores especificamente por esse motivo.

Se a segurança de rede da sua universidade for fraca, também é possível que um invasor externo invada e roube a chave privada do certificado da universidade. Isso permitiria que o invasor personificasse a universidade em conexões SSL e, se você a instalasse como uma raiz confiável, o invasor também poderia usá-la para representar outros sites SSL.

    
por 27.03.2014 / 05:15