V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yzc27
V2EX  ›  问与答

iOS 连公司 wifi,要求信任证书,这样做对用户有什么安全风险吗?

  •  
  •   yzc27 · 2022-10-10 16:47:56 +08:00 · 5319 次点击
    这是一个创建于 535 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用的是 iPhone ,最新版 iOS ,连公司 wifi 输完用户名和密码之后还要求信任公司某个证书(没有主动安装任何证书,就弹出来要求信任,不信任不能连)。

    点了“信任”之后,在“设置-通用-证书信任设置”也没发现有任何证书出现。

    想问:

    1. 如果 iOS 选择信任了这个证书,会有哪些安全风险吗?信任之后,我能在哪里管理(移除)这些已被信任的 wifi 证书?
    2. 另外发现安卓(红米)连同一个 wifi ,没有信任证书的提示出现,输完用户名、密码就连上了,这又是为什么?
    第 1 条附言  ·  2022-10-10 17:30:31 +08:00

    类似这样的:

    WiFi证书

    42 条回复    2022-10-11 20:18:11 +08:00
    buyan3303
        1
    buyan3303  
       2022-10-10 16:51:08 +08:00
    是什么路由器 居然要证书。我所在的公司 无非是网管在路由器里 给我手机设置权限就可以输入 wifi 密码 登陆了
    totoro625
        2
    totoro625  
       2022-10-10 16:51:59 +08:00
    单纯 https 证书不可信,仅限于该网页的连接不安全
    你没输入密码信任证书都没事
    yzc27
        3
    yzc27  
    OP
       2022-10-10 16:52:10 +08:00
    @buyan3303 #1 外企,Cisco ,具体型号不清楚。
    cwcc
        4
    cwcc  
       2022-10-10 16:53:25 +08:00   ❤️ 2
    盲猜 802.1x ,PEAP GTC 的 WiFi 。

    这种 WiFi 连接是需要信任证书的,一般没啥问题应该。只要不是信任根证书就行,信任了根证书就可以解密 HTTPS 了比较危险。
    yzc27
        5
    yzc27  
    OP
       2022-10-10 16:54:20 +08:00
    @totoro625 #2 “没输入密码信任证书都没事”,这里的“密码”是指什么密码?都是选择 wifi ,输完 wifi 的用户名和密码,就弹出要求信任公司某个证书,点“信任”就连上了,点“信任”之后完全没要求输任何密码。
    yzc27
        6
    yzc27  
    OP
       2022-10-10 16:55:43 +08:00   ❤️ 1
    @cwcc #4 iOS 在哪里可以查到有没信任过根证书?
    arch9999
        7
    arch9999  
       2022-10-10 16:58:02 +08:00
    @yzc27

    锁屏密码,root certificate 是需要密码才能添加的,无法使用面容或指纹进行验证。
    chioplkijhman
        8
    chioplkijhman  
       2022-10-10 16:58:08 +08:00
    Radius+ad 做的验证吧?
    其实连接公司网络,“风险”更多来自企业的上网行为管理。那里面会记录你的所有上网行为,包括不限于 url 访问记录、收发邮件内容。或者在防火墙做数据包拦截分析。
    所以,流量够尽量不要连公用 Wi-Fi 。
    yzc27
        9
    yzc27  
    OP
       2022-10-10 16:59:59 +08:00
    @arch9999 #7 点“信任”后没要求输任何密码,直接就连上了。那能在哪里可以查到手机之前是否有被信任过别的 root certificate 吗?
    icyalala
        10
    icyalala  
       2022-10-10 17:00:39 +08:00   ❤️ 4
    那个证书只是针对 wifi 连接认证,与你手机的根证书没关系。

    你的根证书,一个是在通用-关于本机-最下面的证书信任设置,另一块儿是在通用-VPN 与设备管理-配置描述文件。
    这两个地方你看一下没有奇怪的东西就没事。
    Puteulanus
        11
    Puteulanus  
       2022-10-10 17:00:59 +08:00
    arch9999
        12
    arch9999  
       2022-10-10 17:01:59 +08:00
    @yzc27

    设置 -> 通用 -> 关于本机 -> 证书信任设置

    如果里面有的话,在 设置 -> 通用 -> VPN 与设备管理 里面会有对应描述文件。
    yzc27
        13
    yzc27  
    OP
       2022-10-10 17:03:58 +08:00
    @icyalala #10

    ”通用-关于本机-最下面的证书信任设置“里面没其他东西。

    但是”通用-VPN 与设备管理“里面没找到有”配置描述文件“这一项?
    totoro625
        14
    totoro625  
       2022-10-10 17:04:02 +08:00
    试试看是这样的证书吗,例如百度: https://36.152.44.95/
    chapiom
        15
    chapiom  
       2022-10-10 17:05:45 +08:00
    网页证书吧,这个就验证一下,不是设备证书就好。装了设备证书就不设防了,干了什么都知道
    superchijinpeng
        16
    superchijinpeng  
       2022-10-10 17:05:46 +08:00
    EAP-PEAP ?
    yzc27
        17
    yzc27  
    OP
       2022-10-10 17:05:57 +08:00
    @arch9999 #12 所以如果”证书信任设置“没有东西的话,”VPN 与设备管理“也不会有额外的描述文件,对吧?
    arch9999
        18
    arch9999  
       2022-10-10 17:21:54 +08:00
    @yzc27 否,描述文件有很多种。
    yzc27
        19
    yzc27  
    OP
       2022-10-10 17:26:18 +08:00
    @arch9999 #18
    那我看了”证书信任设置“和”VPN 与设备管理“同时都没别的东西,那应该在证书安全性上有保障了吧?
    arch9999
        20
    arch9999  
       2022-10-10 17:28:40 +08:00
    @yzc27 是的
    icyalala
        21
    icyalala  
       2022-10-10 17:28:48 +08:00
    @yzc27 没找到就是没有呗。

    这个信任只是跟着你的 wifi 密码一起记下的,你进到这个 wifi 网络详情里点忽略就没了,再连接又要重新信任。
    yzc27
        22
    yzc27  
    OP
       2022-10-10 17:34:33 +08:00
    @arch9999 #20 明白了,感谢!
    yzc27
        23
    yzc27  
    OP
       2022-10-10 17:42:46 +08:00
    @icyalala #21

    确认一下,是不是就是像下图这样的 wifi 证书信任界面,对吗?

    ![]( https://www.bu.edu/tech/files/2019/10/iPhoneWiFi_4-636x522.png)
    icyalala
        24
    icyalala  
       2022-10-10 18:47:07 +08:00
    @yzc27
    Kiriya
        25
    Kiriya  
       2022-10-10 18:52:47 +08:00
    不连除家中以外 WIFI 比较安全
    ericwood067
        26
    ericwood067  
       2022-10-10 18:55:24 +08:00
    @yzc27 主要是你 wifi 的用户名和密码是在哪里输入的?看你的描述,应该是公司的 Wi-Fi 本身没有密码,连接 Wi-Fi 以后弹出网页让输入用户名和密码吧?在网页里输入密码以后提交的时候要求信任证书?
    如果是这样的话,就是网站本身是 http 的,但是提交用户名和密码的时候使用了自签名的 tls 证书。
    yzc27
        27
    yzc27  
    OP
       2022-10-10 19:38:19 +08:00 via iPhone
    @ericwood067 想歪了,跟网页无关,全程也没网页弹出来。就跟正常连 wifi 一样,输用户名和密码之后接着弹要求信任证书,全程没出现网页,可以看上面的截图。

    你说的那种是类似那些公共 wifi 的弹网页,输手机号发验证码那类的吧?
    crab
        28
    crab  
       2022-10-10 20:26:44 +08:00
    1.[设置]-[通用]-[描述文件]

    2.[设置]-[通用]-[关于本机]-[证书信任设置]
    ericwood067
        29
    ericwood067  
       2022-10-10 22:09:39 +08:00
    @yzc27 对,那是我想错了,以为是网页验证的。
    yzc27
        30
    yzc27  
    OP
       2022-10-10 22:45:19 +08:00 via iPhone
    @icyalala 明白了,感谢!
    yzc27
        31
    yzc27  
    OP
       2022-10-10 22:46:55 +08:00 via iPhone
    @crab 1 那个没找到“描述文件”这一项,2 那个找了里面没东西。
    nuk
        32
    nuk  
       2022-10-11 01:44:09 +08:00
    EAP-TTLS 吧,这个证书和 https 的证书差不多,就做个隧道用的
    dingwen07
        33
    dingwen07  
       2022-10-11 01:49:13 +08:00 via iPhone
    802.11x 最好要装,避免伪造路由器
    HTTPS 仍然是私密的,只要不开启这里对应证书开关
    https://vip2.loli.io/2022/10/11/uEs9XUS4aV1rlKd.png
    dingwen07
        34
    dingwen07  
       2022-10-11 01:49:32 +08:00 via iPhone
    *802.1x
    taresky
        35
    taresky  
       2022-10-11 01:55:08 +08:00
    不用公司 Wi-Fi 就完事了
    ruimz
        36
    ruimz  
       2022-10-11 06:12:42 +08:00   ❤️ 1
    802.1xEAP-PEAP ,现在高校里 eduroam 就是用的这个
    不同系统行为不一样,苹果会给看整个证书,像 windows 可能就给你看一下证书的指纹;如果用 Linux 如 ubuntu 的话,还要手动选 PEAP 和认证方式呢,ubuntu 下 PEAP 二阶段的 MSCHAPv2 认证甚至可以选 no ca certificate is required
    yzc27
        37
    yzc27  
    OP
       2022-10-11 06:36:01 +08:00 via Android
    @dingwen07 查过这里,这里没有任何证书。
    yzc27
        38
    yzc27  
    OP
       2022-10-11 06:36:37 +08:00 via Android
    @ruimz 原来这样,谢谢。
    hefish
        39
    hefish  
       2022-10-11 09:34:47 +08:00
    明显是 802.1x PEAP 认证啊。 只是连接 wifi 用的,跟 https 没关系。
    yzc27
        40
    yzc27  
    OP
       2022-10-11 09:41:22 +08:00
    @hefish #39 明白了,谢谢哈
    IslandOwnerHuang
        41
    IslandOwnerHuang  
       2022-10-11 11:15:26 +08:00
    @ruimz 国内好像没有几个用 eduroam 的高校吧?
    phy25
        42
    phy25  
       2022-10-11 20:18:11 +08:00 via Android   ❤️ 1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5356 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 08:04 · PVG 16:04 · LAX 01:04 · JFK 04:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.