iOS 连公司 wifi,要求信任证书,这样做对用户有什么安全风险吗?

2022-10-10 16:47:56 +08:00
 yzc27

用的是 iPhone ,最新版 iOS ,连公司 wifi 输完用户名和密码之后还要求信任公司某个证书(没有主动安装任何证书,就弹出来要求信任,不信任不能连)。

点了“信任”之后,在“设置-通用-证书信任设置”也没发现有任何证书出现。

想问:

  1. 如果 iOS 选择信任了这个证书,会有哪些安全风险吗?信任之后,我能在哪里管理(移除)这些已被信任的 wifi 证书?
  2. 另外发现安卓(红米)连同一个 wifi ,没有信任证书的提示出现,输完用户名、密码就连上了,这又是为什么?
6456 次点击
所在节点    问与答
43 条回复
buyan3303
2022-10-10 16:51:08 +08:00
是什么路由器 居然要证书。我所在的公司 无非是网管在路由器里 给我手机设置权限就可以输入 wifi 密码 登陆了
totoro625
2022-10-10 16:51:59 +08:00
单纯 https 证书不可信,仅限于该网页的连接不安全
你没输入密码信任证书都没事
yzc27
2022-10-10 16:52:10 +08:00
@buyan3303 #1 外企,Cisco ,具体型号不清楚。
cwcc
2022-10-10 16:53:25 +08:00
盲猜 802.1x ,PEAP GTC 的 WiFi 。

这种 WiFi 连接是需要信任证书的,一般没啥问题应该。只要不是信任根证书就行,信任了根证书就可以解密 HTTPS 了比较危险。
yzc27
2022-10-10 16:54:20 +08:00
@totoro625 #2 “没输入密码信任证书都没事”,这里的“密码”是指什么密码?都是选择 wifi ,输完 wifi 的用户名和密码,就弹出要求信任公司某个证书,点“信任”就连上了,点“信任”之后完全没要求输任何密码。
yzc27
2022-10-10 16:55:43 +08:00
@cwcc #4 iOS 在哪里可以查到有没信任过根证书?
arch9999
2022-10-10 16:58:02 +08:00
@yzc27

锁屏密码,root certificate 是需要密码才能添加的,无法使用面容或指纹进行验证。
chioplkijhman
2022-10-10 16:58:08 +08:00
Radius+ad 做的验证吧?
其实连接公司网络,“风险”更多来自企业的上网行为管理。那里面会记录你的所有上网行为,包括不限于 url 访问记录、收发邮件内容。或者在防火墙做数据包拦截分析。
所以,流量够尽量不要连公用 Wi-Fi 。
yzc27
2022-10-10 16:59:59 +08:00
@arch9999 #7 点“信任”后没要求输任何密码,直接就连上了。那能在哪里可以查到手机之前是否有被信任过别的 root certificate 吗?
icyalala
2022-10-10 17:00:39 +08:00
那个证书只是针对 wifi 连接认证,与你手机的根证书没关系。

你的根证书,一个是在通用-关于本机-最下面的证书信任设置,另一块儿是在通用-VPN 与设备管理-配置描述文件。
这两个地方你看一下没有奇怪的东西就没事。
Puteulanus
2022-10-10 17:00:59 +08:00
arch9999
2022-10-10 17:01:59 +08:00
@yzc27

设置 -> 通用 -> 关于本机 -> 证书信任设置

如果里面有的话,在 设置 -> 通用 -> VPN 与设备管理 里面会有对应描述文件。
yzc27
2022-10-10 17:03:58 +08:00
@icyalala #10

”通用-关于本机-最下面的证书信任设置“里面没其他东西。

但是”通用-VPN 与设备管理“里面没找到有”配置描述文件“这一项?
totoro625
2022-10-10 17:04:02 +08:00
试试看是这样的证书吗,例如百度: https://36.152.44.95/
chapiom
2022-10-10 17:05:45 +08:00
网页证书吧,这个就验证一下,不是设备证书就好。装了设备证书就不设防了,干了什么都知道
superchijinpeng
2022-10-10 17:05:46 +08:00
EAP-PEAP ?
yzc27
2022-10-10 17:05:57 +08:00
@arch9999 #12 所以如果”证书信任设置“没有东西的话,”VPN 与设备管理“也不会有额外的描述文件,对吧?
arch9999
2022-10-10 17:21:54 +08:00
@yzc27 否,描述文件有很多种。
yzc27
2022-10-10 17:26:18 +08:00
@arch9999 #18
那我看了”证书信任设置“和”VPN 与设备管理“同时都没别的东西,那应该在证书安全性上有保障了吧?
arch9999
2022-10-10 17:28:40 +08:00
@yzc27 是的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/885838

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX